Ir al contenido



Foto

Depurador Detectado


  • Por favor identifícate para responder
12 respuestas en este tema

#1 cannabis

cannabis

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 255 mensajes
  • LocationMéxico

Escrito 14 mayo 2019 - 03:03

Buenas tardes, foreros. Hace mucho tiempo que no nos leemos.

 

Delphi 7 / Firebird 2.5

 

Estoy modificando tres aplicaciones. Con dos de ellas no tengo problema, pero la tercera, después de oprimir F9, cuando parece que aparecerá la primera ventana de la aplicación, aparece el siguiente mensaje:

 

DEPURADOR DETECTADO (imagen adjunta)

 

No he modificado ningún parámetro de Delphi ni instalado componente alguno.

 

¿Alguna idea de lo que está sucediendo?

 

 

 

Hasta luego.

 

 

 

 


  • 0

#2 cannabis

cannabis

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 255 mensajes
  • LocationMéxico

Escrito 14 mayo 2019 - 03:06

Olvidé decir que no tengo instalados los programas Winice o SoftIce.


  • 0

#3 egostar

egostar

    missing my father, I love my mother.

  • Administrador
  • 13.954 mensajes
  • LocationMéxico

Escrito 15 mayo 2019 - 10:07

Un gusto vover a verlo por aquí amigo cannabis.

 

Lamento no poder ayudar, nunca he visto ese mensaje en mis compilaciones :s

 

Saludos


  • 0

#4 escafandra

escafandra

    Advanced Member

  • Moderadores
  • PipPipPip
  • 3.842 mensajes
  • LocationMadrid - España

Escrito 15 mayo 2019 - 01:25

Algunos sistemas detectan si se les está depurando, esto es típico en sistemas de protección para evitar ser reventados. Cuando se ejecuta algo bajo el IDE de delphi u otro compilador, se activa un depurador por motivos obvios.
 
cannabis, ahora te pregunto si estás usando componentes o librerías de terceros de pago y sin licencia.
 
Saludos.


  • 0

#5 cannabis

cannabis

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 255 mensajes
  • LocationMéxico

Escrito 17 mayo 2019 - 09:20

Hola.

 

No uso librerías de pago, ni piratas: RxLib, Jvcl, Indy, Atexto, MaxComponents, etc.

 

Lo raro es que no afecta a Delphi 7 en su totalidad, sino únicamente a ciertas aplicaciones (ahora son dos con el mismo problema) Aplicaciones que hace tres semanas se ejecutaban correctamente.

 

Al compilar (F9) crea el ejecutable, pero al momento de abrirlo, aparece el mensaje. Lo que hago es ejecutar el programa fuera de Delphi.

 


  • 0

#6 escafandra

escafandra

    Advanced Member

  • Moderadores
  • PipPipPip
  • 3.842 mensajes
  • LocationMadrid - España

Escrito 17 mayo 2019 - 10:56

Trata de compilar y ejecutar en otrabajar máquina y a set pisi ble con una instalación  nueva del compilador D7.

 

Indicabas una imagen adjunta que no es posible ver. El texto sobre el depurador debe estar en el ejecutable final. Si lo está en el código fuente ya tienes una pista. 

 

Hace un tiempo hubo un virus que infectada delhi y los archivos que compilaba. En realidad infectada los fuentes.

 

Vigila que tipo de antivirus tenéis y si virtualiza la ejecución. Puede ser otro punto de error.

 

Para evitar todo esto experimenta, como te dije, con una máquina limpia e instalacion nueva y limpia de delphi. 

 

Saludos.


  • 0

#7 Delphius

Delphius

    Advanced Member

  • Administrador
  • 6.258 mensajes
  • LocationArgentina

Escrito 17 mayo 2019 - 08:52

No veo ninguna captura de pantalla.

Te olvidaste de subirla.

 

Ese mensaje es extraño, y en lo que primero que yo pensaría es que el Antivirus que utilizas está detectando un falso positivo con el debuger/compilador de Delphi en la compilación y el aviso que salta es arrojado por el antivirus.

La 2da posibilidad es que sea Delphi quien arroja ese aviso, informando que un tercero está intentando debuguear lo que el propio compilador está generando. Esto es posible con las nuevas técnicas SandBox de algunos AVs.

 

¿Que antivirus utilizas?

 

Lo que comenta Escafandra tiene más sentido cuando uno explícitamente coloca un antidebuger en la aplicación. Algo común en algunos videos juegos. Y tengo mis dudas que tu hayas hecho esto.

 

Saludos,


  • 0

#8 cannabis

cannabis

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 255 mensajes
  • LocationMéxico

Escrito 20 mayo 2019 - 01:26

Hola.

  • No tengo juegos instalados en la computadora.
  • Tampoco software pirata.
  • El antivirus es ESET Smart Security.

 

No puede ser un virus, ya que únicamente afecta a dos de las 11 aplicaciones con que trabajo. He buscado en San Google sin resultado.

 

Está adjuntada la imagen del mensaje que aparece.

 

 

Muchas gracias por sus comentarios.

 

 

Archivos adjuntos


  • 0

#9 Delphius

Delphius

    Advanced Member

  • Administrador
  • 6.258 mensajes
  • LocationArgentina

Escrito 20 mayo 2019 - 02:29

Disculpame pero el mensaje dice que se ha detectado WinInce/SoftIce.

Desconozco el uso de éstos (el único que conozco y use un par de ocasiones es Ollydbg), pero por lo que leí en Wikipedia justamente la idea es funcionar en modo kernel y por debajo de Windows por lo que es indetectable:

 

 

SoftICE es un depurador en modo kernel propietario y de pago para Microsoft Windows. Está diseñado para ejecutarse debajo de Windows, de tal manera que el Sistema Operativo desconozca su presencia. A diferencia de un depurador de aplicaciones, SoftICE es capaz de suspender todas las operaciones en Windows cuando se desee, lo cual resulta útil para depurar drivers ya que es importante conocer cómo se accede al hardware así como las funciones del sistema operativo.

 

Si no es ese es algún clon/fork de SoftIce que se instaló (o algo con su misma o similar firma), ya sea manualmente o por algún virus. Sea cual sea el caso el proceso por el cual se instaló, la cosa es que SI hay un debugger trabajando por debajo. Y hay algo en tus dos desarrollos (algo en su "firma digital") que hace que dicho debugger despierte (o que le resulta de interés/sospechoso) y te frene la compilación.

 

Ojalá ESET u otro AV lo pudiera detectar y darle plumazo. Porque si es como dice la Wiki, y pasa oculto al SO, no queda que dar una limpieza esperando eliminarlo.

 

Si nos puedes brindar más novedades, mientras tanto puedes ir buscando sobre como eliminar SoftIce/WinIce. Que tu no sepas que lo tienes es una cosa y otra es que realmente esté...

 

De última es un bichazo que emula el comportamiento de estos debuggers. Pero debugger de terceros al fin a cabo hay. No quedan dudas.

 

Saludos,


  • 0

#10 escafandra

escafandra

    Advanced Member

  • Moderadores
  • PipPipPip
  • 3.842 mensajes
  • LocationMadrid - España

Escrito 20 mayo 2019 - 02:53

SoftIce es un depurador que dejó de actualizarse tras XP. El concepto era muy similar a Ollydbg.

 

Existen formas de protección que se basan en evitar los depuradores. Cuando se ejecuta una aplicación al pulsar F9 en delphi 7, se hace bajo un depurador que es el del propio delphi. Si el código compilado detecta un depurador y da el aviso, es porque el desarrollador quiere mostrarlo lo que me hace pensar que se está enlazando una librería o componente con este tipo de protección. Si esto ocurre de forma involuntaria habrá que revisar el proyecto en busca de esto y una prueba coherente es usar una instalación limpia de delphi o eliminar paquetes de pago o de prueba que puedan ser susceptibles de tener este tipo de protección. A las aplicaciones delphi normales no les importa que se actué bajo un depurador y un detalle es que el mensaje esté en español lo que acota la búsqueda de la librería sospechosa.

 

Saludos.


  • 0

#11 Delphius

Delphius

    Advanced Member

  • Administrador
  • 6.258 mensajes
  • LocationArgentina

Escrito 20 mayo 2019 - 02:53

Muy posiblemente el problema sea que están compitiendo el debugger de Delphi y el winIce/SoftIce.
  • 0

#12 Delphius

Delphius

    Advanced Member

  • Administrador
  • 6.258 mensajes
  • LocationArgentina

Escrito 21 mayo 2019 - 04:04

SoftIce es un depurador que dejó de actualizarse tras XP. El concepto era muy similar a Ollydbg.

 

Existen formas de protección que se basan en evitar los depuradores. Cuando se ejecuta una aplicación al pulsar F9 en delphi 7, se hace bajo un depurador que es el del propio delphi. Si el código compilado detecta un depurador y da el aviso, es porque el desarrollador quiere mostrarlo lo que me hace pensar que se está enlazando una librería o componente con este tipo de protección. Si esto ocurre de forma involuntaria habrá que revisar el proyecto en busca de esto y una prueba coherente es usar una instalación limpia de delphi o eliminar paquetes de pago o de prueba que puedan ser susceptibles de tener este tipo de protección. A las aplicaciones delphi normales no les importa que se actué bajo un depurador y un detalle es que el mensaje esté en español lo que acota la búsqueda de la librería sospechosa.

 

Saludos.

 

Yo estuve buscando un poco sobre el tema, en inglés. Y me encontré con algunos hilos en otros foros, algunos dedicados a hacking y cracking y de dudosa reputación. En ellos el mensaje es el mismo que se muestra en la foto sólo que en inglés.

Eso me hace suponer que el mensaje es propio de SoftIce con ayuda de traducción al idioma del Sistema, o bien, que se trate de una advertencia propia del sistema de Windows. Para mi, está instalado SoftIce, o algún otro debugger que posee una firma similar.

 

Salvo, que yo esté entendiedo mal esa foto y este mensaje sea el emitido por Windows desde el propio ejecutable que tiene en su código compilado el sistema antidebugger y lo que se pide es que se cierre SoftIce para que el sistema funcione correctamente. Si es el caso, y no hay SoftIce instalado ¿que está detectando? ¿Al propio debugger de Delphi?

 

En algunos de esos foros se proponen el uso de unas tools para lograr eliminar SoftIce, otros dan como alternativa un par de código de bajo nivel (asembler) que supuestamente ayuda a bypassear a SoftIce. Y en otro de los sitios que estuve leyendo comentan del conflicto entre Skype y SoftIce, lo que se decía es que para que funcione Skype es simplemente cerrar SoftIce.

Por eso he ahí lo que me está haciendo dudar, y hay algo "raro" en todo esto.

 

No descarto lo que tu comentas, que algún componente, biblioteca, o framework que utiliza tenga alguna de estas medidas antidebugger. Pero la pregunta es ¿Porqué ahora surje el problema y no antes? Según cannabis su sistema no daba problemas antes, y de pronto empezó el problema. Si no utiliza componentes o bibliotecas de tercero como dice, el problema viene por otro lado.

 

Algo se instaló y/o se actualizó y hace que salte ese aviso. Debería de revisarse si no hay un virus por ahí.

Recuerdo ese virus que afectaba a D7, que más que virus fue una prueba de penetración y de difusión. El virus era tan buenito de hacerte un backup del system.pas (creo recordar que esta era la unit pral que afectaba) y con restaurarla se solucionaba. En CD se habló del tema, nos afectó a todos. Bueno, a los que usaban D7, en ese entonces yo estaba con D6 y no sufri el problema.

 

No hay que descartar la posibilidad de un nuevo tipo de virus que haya afectado la versión de Delphi que está usando cannabis. Puede ser cualquier cosa.

Hay que esperar alguna novedad de cannabis.

 

Saludos,


  • 0

#13 cannabis

cannabis

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 255 mensajes
  • LocationMéxico

Escrito 27 mayo 2019 - 01:10

Agradezco el interés mostrado por el tema y la información que han compartido.

 

No encuentro la solución, así que seguiré compilando y creando el ejecutable dentro de Delphi y probando el programa fuera de Delphi.

 

 

Muchas gracias y hasta pronto.


  • 0