Русский / Russian English / Английский

Сейчас на форуме: 3ton, Adler (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› HideDebugger(1.2.4) - update
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 14 ноября 2004 11:58 · Поправил: Asterix New!
Цитата · Личное сообщение · #1

Добавлена команда Detach, юзать - с умом, процесс должен быть отпущен,
зациклен(jmp $) или заSUSPEND'ен тогда можно Detach'иться.

В следующей версии прикручу защиту от Obsidium'а 1.2.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 14 ноября 2004 11:59 New!
Цитата · Личное сообщение · #2


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 14 ноября 2004 12:36 New!
Цитата · Личное сообщение · #3

ы, а я когда название топика прочитал было подумал, что ты прикрутил наконец-то защиту от проверки через ZwQueryInformationProcess...
Кста вот интересно, почитал я про эту Eprocess... если драйвер написать (или заюзать например от R0cmd, он же в любой место запись разрешает) который будет патчить эту Eprocess данного процесса (ведь есть же драйверы с исходниками, которые скрывают процесс под NT, они явно с Eprocess как-то работают, может их немного подправить =) ). Тогда наверно и в PEB тоже нужный байт пойдёт. Только вот вопрос в какой момент олли передаёт управление плагину...

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 14 ноября 2004 13:33 New!
Цитата · Личное сообщение · #4

> ы, а я когда название топика прочитал было подумал, что ты прикрутил наконец-то защиту от проверки через ZwQueryInformationProcess...

Ну пока обдумываю как покороче и поуниверсальнее реализовать, ведь тогда можно будет использовать функцию в дальнейшем, чтоб обламывать какие-нибудь другие проверки..

С драйвером связываться не хочу, опыта нет, да и нет пока особой необходимости в нём, разве что класс окна в рантайме патчить, но проще пропатчить сам Olly, кстати, если б Olly правильно плагины грузил, до показа своего главного окна, то, опять же, класс окна можно было бы патчить в рантайме.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 14 ноября 2004 15:19 New!
Цитата · Личное сообщение · #5

> Только вот вопрос в какой момент олли передаёт управление плагину...

Я в плагине не жду когда Olly передаст управление, всё что нужно хватаю сам, в нужный мне момент ;)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 15 ноября 2004 13:57 New!
Цитата · Личное сообщение · #6

Маленькая бага закралась в релиз, Detach работает только если включена хотя бы одна из двух защит либо IsDebuggerPresent либо TerminateProcess.
В следующей версии поправлю ;)


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 16 ноября 2004 21:10 New!
Цитата · Личное сообщение · #7

Your system not supports DebugActiveProcessStop function =(

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 16 ноября 2004 22:59 New!
Цитата · Личное сообщение · #8

В 2k такой функции действительно нет ;)


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 17 ноября 2004 18:44 New!
Цитата · Личное сообщение · #9

Обыдна =) А сэмулить её нельзя?

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 18 ноября 2004 00:45 New!
Цитата · Личное сообщение · #10

> А сэмулить её нельзя?

%)


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 18 ноября 2004 18:51 New!
Цитата · Личное сообщение · #11

Ну типа рипнуть код из kernel'a или где она там? =)))

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 19 ноября 2004 00:30 New!
Цитата · Личное сообщение · #12

WELL
Круто будет, WELL kernel32.dll пропатчит
Проще помойму ХР поставить.


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 19 ноября 2004 01:19 New!
Цитата · Личное сообщение · #13



Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 20 ноября 2004 13:38 New!
Цитата · Личное сообщение · #14

MC707 пишет:
Круто будет, WELL kernel32.dll пропатчит

не, тут kernel32.dll, не отделаешься ) ведь дело в функции ZwRemoveProcessDebug, а это уже совсем не kernel32.dll =)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 20 ноября 2004 15:41 New!
Цитата · Личное сообщение · #15

Mario555
> а я когда название топика прочитал было подумал, что ты прикрутил наконец-то защиту от проверки через ZwQueryInformationProcess...

Уже прикрутил, вот только никак не придумаю как ее обозвать в диалоге Options ;)


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 20 ноября 2004 23:11 New!
Цитата · Личное сообщение · #16

Asterix пишет:
как ее обозвать в диалоге Options

ZwQueryInformationProcess - must die =)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 21 ноября 2004 06:08 New!
Цитата · Личное сообщение · #17

Гы, название придумал, так что скоро будет релиз ;)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 3 декабря 2004 20:16 New!
Цитата · Личное сообщение · #18

Новая версия лежит здесь.
www.wasm.ru/forum/files/_1964778182__HideDebugger122.rar


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 16 февраля 2005 04:35 New!
Цитата · Личное сообщение · #19

Решил поднять тему =)

Дело в том, что если запускать ольку, а потом грузить в неё файл, то заголовки окна убираются.
А вот если сразу грузить файл из контекстного меню проводника, то заголовки не убираются.
Вот такой глюк/фича =)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 21 февраля 2005 06:30 New!
Цитата · Личное сообщение · #20

Вобще-то это была фича ;)
Ну ладно, в следующем релизе постараюсь поправить, только вот не знаю когда это будет %)

ЗЫ: я ни разу не грузил Olly из explorer'а =)


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 21 февраля 2005 11:01 New!
Цитата · Личное сообщение · #21

Asterix пишет:
Вобще-то это была фича ;)

Ну я так сразу и подумал ;)

Asterix пишет:
я ни разу не грузил Olly из explorer'а =)

Я только так и гружу =) Мне так удобнее =)


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 21 февраля 2005 11:50 New!
Цитата · Личное сообщение · #22

WELL пишет:
Я только так и гружу =) Мне так удобнее =)

Не один я видимо такую штуку юзаю Так сто процентов удобнее. Пункт "Дизасмить" у EXE файлов


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 21 февраля 2005 14:56 New!
Цитата · Личное сообщение · #23

Дык не зря же есть стандартная опция Options -> Add to Explorer

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 8 мая 2005 20:12 New!
Цитата · Личное сообщение · #24

добавил код против OutputDebugString эксплоита, который
любят применять Армадилла и EXECryptor

www.wasm.ru/forum/files/_311506657__HideDebugger123.zip

Ранг: 145.5 (ветеран)
Статус: Участник

Создано: 9 мая 2005 01:19 · Поправил: test New!
Цитата · Личное сообщение · #25

Asterix
Как раз к стати Спасибо!
Работает! XPsp2 Без проблем.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 11 мая 2005 20:35 New!
Цитата · Личное сообщение · #26

Пофиксен один маленький баг

www.wasm.ru/forum/files/_1278267755__HideDebugger123f.zip


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 12 мая 2005 03:54 New!
Цитата · Личное сообщение · #27

cool
а как насчёт ?
WELL пишет:
Дело в том, что если запускать ольку, а потом грузить в неё файл, то заголовки окна убираются.
А вот если сразу грузить файл из контекстного меню проводника, то заголовки не убираются.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 12 мая 2005 04:33 New!
Цитата · Личное сообщение · #28

WELL
я пока не придумал как это поизящнее сделать, сейчас оно сделано наиболее
правильным и безглючным способом, может позже верная мысль меня посетит ;)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 4 октября 2005 17:16 New!
Цитата · Личное сообщение · #29

WELL
Решение проблемы с заголовком окна найдено,
как доберусь до дома будет новый релиз с фиксами багов и новыми фичами, но
это будет не ранее чем через 25 дней, т.к. сейчас под рукой только исходники от версии
1.2.2, на ней и экспериментирую =)


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 4 октября 2005 21:55 New!
Цитата · Личное сообщение · #30

Жду с нетерпением ;)
Спасибо, что не забыл
. 1 . 2 . >>
 eXeL@B —› Основной форум —› HideDebugger(1.2.4) - update

Видеокурс ВЗЛОМ