Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 мая!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

Mario555 Снова OllyDetect Так сказать «по мотивам одного пакера» :)


Mario555 Снова OllyDetect Так сказать «по мотивам одного пакера» :)
http://www.mario-files.newmail.ru/OllyFinder.exe
Таким образом можно искать произвольную строчку в процессе или вообще не строчку, а последовательность байт... такое не переименуешь.
PS Гм... если TerminateProcess применить к процессу \systemroot\system32\smss.exe, то винду кидает в синий экран - это только у меня такой лаг или так на всех компах ? Ребут-то оно покруче будет, чем просто убивать найденный дебугер ;)
PPS сейчас вот появилась у меня идея, как скрыть олли от таких штук.
-= ALEX =- :: Mario555 пишет:
цитата:
PPS сейчас вот появилась у меня идея, как скрыть олли от таких штук.


ну ловить просто-напросто вызовы апи TerminateProcess. и смотреть на параметры передаваемые... или как ты там скрываешь .. :)

-= ALEX =- :: скачал файл, посмотрел исходник. интересно реализовано... заинтересовало, щас попробую написать антифиндер %)
ЗЫ ну ни как меня на олю не тянет, хоть убей... :(

test :: Mario555
А у меня твой OllyFinder уже не находит :(

Aster!x :: › PS Гм... если TerminateProcess применить к процессу \systemroot\system32\smss.exe, то винду кидает в синий экран - это только у меня такой лаг или так на всех компах ?

Ну и что? Можно и ещё к каким-нить системным процессам применить, но вот только зачем?
Если приложение не умеет уживаться с моим софтом или виндой то думаю стоит его кильнуть, пусть разработчики сами с ним играются.

Зы: отладчик третьего кольца беззащитен и способов его обнаружения можно придумать множество. А с TerminateProcess можно бороться и вполне эффективно, и это уже реализовано, теперь «Pulya» не может прибить Olly ;-)

Mario555 :: -= ALEX =- пишет:
цитата:
ну ловить просто-напросто вызовы апи TerminateProcess


Это не серьёзно, уж тебе-то, как автору протектора должно быть понятно, что главное - это не способ убивания процесса отладчика, а получение «dbg найден»/«dbg не найден», дальше уже можно делать всё что угодно...
Перехватывать тоже будет не просто, если вокруг проверки понаставить всяких rdtsc, DRx check и т.п.
К тому же такую проверку можно пускать отдельным Thread’ом с низким приоритетом, который будет постоянно проверять наличие отладчика (дампера или любой другой crack tool) во время работы основной проги.

test пишет:
цитата:
А у меня твой OllyFinder уже не находит :(


Что же ты такое сделал ? Единственный способ спрятать olly, который я вижу - это смена ImageBase, но ведь можно считать эту ImageBase и высчитать нужное значение параметра BaseAddress для ReadProcessMemory. Хотя вот если Olly Obsidium’ом пакануть...

Mario555 :: Aster!x пишет:
цитата:
теперь «Pulya» не может прибить Olly ;-)


А можно просто OLLYDBG.EXE переименовать в explorer.EXE эффект тот же :)

Aster!x пишет:
цитата:
приложение не умеет уживаться с моим софтом


Если софт - это отладчики... Ребут всего лишь способ ответных действий на обнаруженную прогу...

test :: Mario555
Да нет. Просто у тебя нет проверки кода как в Arme вот и все.Хотя и в память где rep cmps можно напихать мусор и еще много чего.А вот твоя идея (Хотя вот если Olly Obsidium’ом пакануть...)как раз очень интересная.Да еще. кроме оли я ничего не использовал!

Mario555 :: Плагинам не понравилась Оля пакованая Obsidium’ом :( Без плагинов работает...

-= ALEX =- :: Mario555 только что закончил работу, написал OllyHider для твоего OllyFinder’a... :)
ЗЫ нет ниукого сдк по написанию плугинов для ольки, желательно на асме...

Aster!x :: Mario555
› А можно просто OLLYDBG.EXE переименовать в explorer.EXE эффект тот же :)

Мы не ищём легких путей поэтому будем дописывать плагин, чтоб не действовать таким грубым способом как переименование ;-)

test :: -= ALEX =-
masm_inc.zip - not tested если хочешь

-= ALEX =- :: test ну давай... мыло мое видно тут.

dMNt :: ну и мне киньте masm_inc.zip
вот сюда --› dmnt((AT))ledex D0T ru

PS: спасиба, пришло :)

-= ALEX =- :: test пасибо.

WELL :: Aster!x
А твой HideDebugger.dll обновился?
Если да, то где качнуть можно?

Aster!x :: WELL
Пока нигде нельзя качнуть, постараюсь в ближайшее время доделать messag’и и выложить в народ.

WELL :: Aster!x
Будем ждать

Mario555 :: -= ALEX =- пишет:
цитата:
написал OllyHider


Выложи где-нить.

test :: Mario555
Мне кажется что лучше наверно патчить системный модуль потому как с двумя процессами это не
пролезет.

test :: Вот попробовал с армой все вроде работает без rename ollyexe .Тока hbpx перестал работать..

test :: Извиняюсь. все в ОК! работает.Просто теперь на тот адрес проверки нет перехода после Process32First.

-= ALEX =- :: Mario555 пишет:
цитата:
Выложи где-нить.


вот только появился в городе... вот выложил http://www.kpt.fatal.ru/OllyHider.exe.. сделано на основе 99% кода OllyFinder’a %)

newborn :: -= ALEX =- пишет:
цитата:
вот только появился в городе... вот выложил http://www.kpt.fatal.ru/OllyHider.exe.. сделано на основе 99% кода OllyFinder’a %)


Что то я не могу скачать, может кто переложит на другой сервак ?

GL#0M :: newborn
Известная тема с фаталом :(
http://kon.ldx.ru/OllyHider.exe

newborn :: GL#0M
Спасибо, этот фатал частенько стал падать...

Mario555 :: -= ALEX =-
Думал, что переименование в таком количестве приведёт к глюкам в работе Оли, но всё нормально работает :)
Хотя конечно можно поискать строчку (последовательность байт) которую нельзя переименовывать, но такая строка будет встречатся только один раз и её можно аккуратно переправить вручную.

Aster!x :: Mario555

Фигня все эти методы, я правда не смотрел но судя по обсуждению читаем память Olly в поисках сигнатур через ReadProcessMemory? если да то можно не париться, есть фича в новой версии HideDebugger, которая обломает вам эту возможность :-) , знаю знаю, что пора плагин в народ кидать, но вот обнаружился необычный глюк на винде FEUERRADER’а(XP sp2) с IsDebuggerPresent, придётся алго менять видимо, поэтому выход плагина задерживается, sorry.






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS