Русский / Russian English / Английский

Сейчас на форуме: arger (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Hide Debugger 1.2
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 04 сентября 2004 22:12 New!
Цитата · Личное сообщение · #1

Ну вот я наконец его доделал
Требуется протестировать в 2k(sp4), XP(SP2) и 2k3.

Чуть позже он появится на wasm(когда info оформлю),
а пока жду, какие будут комментарии..

Кто не поленится протестировать то обращайте внимание на лог Olly,
если будут ошибки то это будет отображено в логе красным цветом.



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 04 сентября 2004 22:13 New!
Цитата · Личное сообщение · #2

аттач

551341490__HideDebugger12.rar



Ранг: 0.0 (гость)
Статус: Участник

Создано: 05 сентября 2004 01:32 New!
Цитата · Личное сообщение · #3

Ну ничего, Арма и Аспр не жалуются...



Ранг: 0.0 (гость)
Статус: Участник

Создано: 05 сентября 2004 02:04 New!
Цитата · Личное сообщение · #4

Asterix

Спасибо большое, потестируем!



Ранг: 13.1 (новичок)
Статус: Участник
EGOiSM FEELiNG

Создано: 05 сентября 2004 03:25 New!
Цитата · Личное сообщение · #5

усе отлично




Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 05 сентября 2004 04:52 New!
Цитата · Личное сообщение · #6

Asterix пишет:
Ну вот я наконец его доделал

Молодец! Отлично! Потестирую




Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 05 сентября 2004 06:37 New!
Цитата · Личное сообщение · #7

XaErO пишет:
Арма и Аспр не жалуются...

они и раньше не сильно жаловались...
Вот SoftDefender (aka SDProtector) например аж 5 имён классов окон олли не любил, и активмарк'у тоже что-то в олли очень не нравилось...
Приду домой - потестю на них.
ЗЫ не качается почему-то у меня этот аттач



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 05 сентября 2004 08:30 New!
Цитата · Личное сообщение · #8

Лучше использовать эту версию т.к. у нее более корректный алгоритм, добавлены проверки и функция записи в лог ошибок.

Mario555
> ЗЫ не качается почему-то у меня этот аттач
Попробуй взять по этой ссылке:
www.wasm.ru/forum/files/_1368105966__HideDebugger12.rar

> аж 5 имён классов окон олли не любил

Класс окна сменить в рантайме не просто, проще пропатчить сам ollydbg.exe

Зато pulya.exe теперь запускается




Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 05 сентября 2004 11:02 New!
Цитата · Личное сообщение · #9

Asterix пишет:
Класс окна сменить в рантайме не просто, проще пропатчить сам ollydbg.exe

так и делал

Asterix пишет:
pulya.exe теперь запускается

проще переименовать ollydbg.exe ;)

ps а файл всё-равно не качается... видно этот комп просто глючный...



Ранг: 1.0 (гость)
Статус: Участник

Создано: 05 сентября 2004 12:49 New!
Цитата · Личное сообщение · #10

XaErO пишет:
Ну ничего, Арма и Аспр не жалуются...

ну я по непонятной причине вообще сабж не юзаю, потому что есть у меня IsDebuggerPresent Hider - арма и аспр до сих пор не жалуются, самых свежих версий.
Asterix пишет:
Ну вот я наконец его доделал

а что именно? ты прикрывал какие-то новые способы обнаружения ольки?




Ранг: 266.8 (наставник)
Статус: Участник
very WELL :)

Создано: 06 сентября 2004 19:06 New!
Цитата · Личное сообщение · #11

Скачал. Вечером потестю на Вынь2кСП4



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 09 сентября 2004 17:44 New!
Цитата · Личное сообщение · #12

Mario555
> Вот SoftDefender (aka SDProtector) например аж 5 имён классов окон олли не любил

Ты определил как он это делает, т.е. класс окна определяет?




Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 10 сентября 2004 14:09 New!
Цитата · Личное сообщение · #13

не, даже не пробовал определить... там очень злобный антитрейс и поэтому по коду протектора особо не разгуляешься

но наверно там используется какое-нить EnumWindow, причём работает это в отдельном треде...



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 10 сентября 2004 15:29 New!
Цитата · Личное сообщение · #14

Mario555
> но наверно там используется какое-нить EnumWindow

Я пробовал, бряки на EnumWindows и FindWindow (A/W) и др. ничего не дали..




Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 10 сентября 2004 15:32 New!
Цитата · Личное сообщение · #15

а оно у тебя под олей запускается чтоли ?



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 10 сентября 2004 15:55 New!
Цитата · Личное сообщение · #16

> а оно у тебя под олей запускается чтоли ?

А, ты хочешь сказать что протектор просто раньше находил Olly используя антитрассировочные трюки? Ну тогда бессмысленно пытаться защититься от поиска окошек раз используется антитрассировка..




Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 10 сентября 2004 16:41 New!
Цитата · Личное сообщение · #17

одно радует - эта хреновина файлы нормально паковать не умеет... у меня ни один после обработки SDProtector'ом не запустился...




Ранг: 266.8 (наставник)
Статус: Участник
very WELL :)

Создано: 12 сентября 2004 07:12 New!
Цитата · Личное сообщение · #18

Прожка jv16 PowerTools кричит, что находится под отладкой.
Качать с www.macecraft.com



Ранг: 1.0 (гость)
Статус: Участник

Создано: 12 сентября 2004 10:53 New!
Цитата · Личное сообщение · #19

да и SDProtector тоже



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 12 сентября 2004 11:51 New!
Цитата · Личное сообщение · #20

WELL
Если прога использует антитрассировочные приёмы то фиг чего там сделаешь в Olly и плагин не поможет.



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 12 сентября 2004 12:42 New!
Цитата · Личное сообщение · #21

Кстати, вот код, который прибивает Olly, и я пока не придумал как защититься,
кроме как пропатчить exe'шник.


format PE GUI 4.0
entry start

include '%fasminc%\win32a.inc'


section '.code' code readable writeable executable

align 4
start:
invoke FindWindow, ClassName, NULL
test eax, eax
jz @F
invoke PostMessage, eax, WM_CLOSE, 0, 0
@@:
invoke ExitProcess, 0


section '.data' data readable writeable

ClassName db 'OLLYDBG',0



section '.idata' import data readable

library kernel32,'KERNEL32.DLL',\
user32,'USER32.DLL'

include '%fasminc%\APIA\KERNEL32.INC'
include '%fasminc%\APIA\USER32.INC'



Ранг: 0.0 (гость)
Статус: Участник

Создано: 12 сентября 2004 15:43 New!
Цитата · Личное сообщение · #22

WELL
Ты её трейсил? Когда я её смотрел (около года назад вроде) там стояла обработка времяни выполнения кода.



Ранг: 0.0 (гость)
Статус: Участник

Создано: 12 сентября 2004 15:47 New!
Цитата · Личное сообщение · #23

Asterix
Единственное что пришло в голову, так это перехватить API и по фильтрить её выход



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 12 сентября 2004 16:07 New!
Цитата · Личное сообщение · #24

RU_Ban0K

Да, это можно, но мне почему-то кажется что класс окна можно найти и другими способами, т.е. возможно через другие функции, native например..



Ранг: 0.0 (гость)
Статус: Участник

Создано: 13 сентября 2004 08:00 New!
Цитата · Личное сообщение · #25

Чтото не помню чтобы натив на user распростронялся...
Вроде нет такого, или я не прав?



Ранг: 19.6 (новичок)
Статус: Участник

Создано: 13 сентября 2004 09:01 New!
Цитата · Личное сообщение · #26

Asterix пишет:
кроме как пропатчить exe'шник.

я вот ольку пропатчил в ilya.exe и плагины все которые мне нужны...пока не жалуюсь ни на что




Ранг: 266.8 (наставник)
Статус: Участник
very WELL :)

Создано: 13 сентября 2004 09:58 New!
Цитата · Личное сообщение · #27

Короче да. Там в натуре проверка трэйса.
Так что плагин рулит (по мере сил)



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 13 сентября 2004 10:02 New!
Цитата · Личное сообщение · #28

ilya
> и плагины все которые мне нужны...пока не жалуюсь ни на что

А что должны что-ли? ;)

Приведённый выше код прибьёт твою Ольку, вместе со всеми плагинами, если конечно ты не пропатчил вдобавок класс окна, ну это не сложно, нужно только заглянуть в дизассемблер ;)



Ранг: 19.6 (новичок)
Статус: Участник

Создано: 13 сентября 2004 10:29 · Поправил: ilya New!
Цитата · Личное сообщение · #29

имя процесса: ilya.exe
имя класса окна: ilyaDBG
текст окна: ilyaDbg - [CPU]
а плагины я патчил чтоб они принимали файло ilya.exe
с такой конфигурацией программам её ни найти



Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 13 сентября 2004 13:14 New!
Цитата · Личное сообщение · #30

ilya
Давненько хотел крякми написать по опредлению ольки, там есть с 10 методов.
Но сейчас меня ещё один осенил, озвучивать его я не буду, вот кто крякми будет ломать увидит ;)
Мой метод обнаружения перечеркивает все попытки смены имен окон, назв. файла и т.п.
Вообщем постараюсь на выходных состряпать.


. 1 . 2 . >>
 eXeL@B —› Основной форум —› Hide Debugger 1.2

Видеокурс ВЗЛОМ