Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› PhantOm plugin
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 01:43 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

Ранг: 8.1 (гость)
Статус: Участник

Создано: 22 апреля 2007 19:26 · Поправил: Sergeylar New!
Цитата · Личное сообщение · #2

Я смотрю кряк появился первый для LikeRusXP 5.18 ... Скачал посмотрел чтото не очен хорош ,тупит на большенства компах .. А у кого есть уже распокованый ехе от LikeRusXP 5.18 но не патченый ?
Если можно то вылажите тут .


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 22 апреля 2007 19:46 New!
Цитата · Личное сообщение · #3

Sergeylar
Предупреждение за оффтоп.. Тебе советую заглянуть в rar-статьи.

Ранг: 8.1 (гость)
Статус: Участник

Создано: 22 апреля 2007 20:06 New!
Цитата · Личное сообщение · #4

lord_Phoenix пишет:
Sergeylar
Предупреждение за оффтоп.. Тебе советую заглянуть в rar-статьи.


Да времени нет копаться ,я видел статью . .

Еще раз извиняюсь за оффтоп


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 23 апреля 2007 01:55 New!
Цитата · Личное сообщение · #5

Sergeylar пишет:
Я смотрю кряк появился первый для LikeRusXP 5.18


на 5,16 - в 5,18 ещё более интересная антиотладка появилась.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 6 мая 2007 19:04 New!
Цитата · Личное сообщение · #6

так взялзя за плаг, будет много нового.
скрытие от:

-NtYieldExecution (new)
-NtQueryObject
-NtQuerySystemInformation

ещё хочу отобрать у ольги обработку исключений, но тут косяк с бряками, как узнать
мы на левом int 3 или на своём бряке?

Да есть функи:

function Getbreakpointtype(addr: ULONG): ULONG; cdecl;
function Getbreakpointtypecount(addr: ULONG; passcount: PULONG): ULONG; cdecl;

тока вот и в том и в другом случае возвращают одно и тоже...
Мне же в случае бряка, надо вернуть управление в ольгу...


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 7 мая 2007 01:53 New!
Цитата · Личное сообщение · #7

Hellspawn пишет:
так взялзя за плаг, будет много нового


Гуд

зы. А почему, при наличии драйвера, плаг позволяет читать ольгин процесс?


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 7 мая 2007 03:57 · Поправил: Bronco New!
Цитата · Личное сообщение · #8

как узнать
мы на левом int 3 или на своём бряке?

Вроде же Олюшка пишет их в файлах *.udd
Обычные и аппаратные точно...


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 7 мая 2007 08:13 New!
Цитата · Личное сообщение · #9

Gideon Vi пишет:
зы. А почему, при наличии драйвера, плаг позволяет читать ольгин процесс?


каким способом? поподробнее...

Bronco пишет:
их в файлах *.udd


эх, разгребать формат... Можно же проще, лана придумаю что-нибудь...


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 7 мая 2007 14:06 New!
Цитата · Личное сообщение · #10

Hellspawn пишет:
каким способом?


Не уточнял. Вот этот тест, например, ищет определённые строки в процессе (CPU в юникоде, _ADDSORTEDDATA и т.п.). Насколько я помню, в OllyICE (та, что темидой накрыта была) этот тест не срабатывал.

{ Атач доступен только для участников форума } - Anti 0lly Tester 1.0.rar

Ранг: 213.5 (наставник)
Статус: Участник
забанен

Создано: 7 мая 2007 17:43 New!
Цитата · Личное сообщение · #11

Hellspawn пишет:
тока вот и в том и в другом случае возвращают одно и тоже...

Не-не, это ты просто немного запутался , в твоем случае именно Getbreakpointtype и надо использовать!
push eax ;здесь кладем в стек для проверки адрес в регистре EAX на наличие бряка (int 3)
call Getbreakpointtype\ эта функа жизненно необходима для отладчика, и работать должна всегда правильно!!!
test ah, 2 ; TY_ACTIVE/ тут проверяем если бряк (int 3) есть и он ENABLE
pop eax ;выравниваем стек и возвр…
jnz @F

Исполнить это, если бряка нет или он не активен

@@:

Исполнить это, если бряк есть и он активен (юзер ведь может отключить бряк, но в “памяти” 0CCh останется!)

P. S.
Если не получиться выложи код, когда время будет, посмотрю, почему не работает…

Hellspawn пишет:
как узнать мы на левом int 3 или на своём бряке?

Отладчик создает отдельную память, где хранит всю инфу о бряках именно 0CCh
Находиться указатель на эту таблицу в структуре t_sorted. data с именем Table of breakpoints
Там лежат данные типа - адреса (по этим адресам и определяется наличие бряка и его состояние в функе Getbreakpointtype), оригинальные байты, которые менялись на 0CCh, состояния бряков и т. д.
Но эта краткая инфа нужна, только если на самом низком уровне использовать полностью все возможности отладчика…

Hellspawn
А ты уже реализовал это
Hellspawn пишет:
отобрать у ольги обработку исключений

и это
Hellspawn пишет:
вернуть управление в ольгу...

или только собираешься кодить?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 7 мая 2007 19:11 New!
Цитата · Личное сообщение · #12

Demon666 пишет:
или только собираешься кодить?


вообще я патчу ольгу, и делаю свой цикл обработки, без лишнего мусора...

я знал что ты ответишь, ок хорошо, попробую сделать всё как ты сказал!

з.ы. для железного бряка также прокатит? ну тока константа другая конечно

Gideon Vi

пасиб, я гляну...

Ранг: 213.5 (наставник)
Статус: Участник
забанен

Создано: 8 мая 2007 04:03 New!
Цитата · Личное сообщение · #13

Hellspawn пишет:
для железного бряка также прокатит?

Не-не, это из другой оперы…

Getbreakpointtype возвращает инфу только ту, которая юзается через интерфейс Breakpoints (Alt+B)
В таблице информация парсится такой структурой
Description of INT3 breakpoint
t_bpoint STRUC
addr_ dword ? ; Address of breakpoint
dummy dword ?
type_ dword ? ; Type of breakpoint, TY_xxx
cmd byte ? ; Old value of command
t_bpoint ENDS
вот Getbreakpointtype сравнивает addr_ с тем адресом, что мы передаем для анализа - в случае когда совпадает, возвращает значение, которое в type_, если нет в таблице такого адреса TY_INVALID
type_ - тип breakpoint`а, комбинация битов TY_xxx.
!!!WARNING!!! Avoid direct modification. Please do not change flags that are not described here
Flag --->;возвращаемое значение
TY_SET --->;000000100h
TY_ACTIVE --->;000000200h
TY_DISABLED --->;000000400h
TY_ONESHOT --->;000000800h
TY_TEMP --->;000001000h

;------------------[низкий уровень]----------------------
To get breakpoint descriptor, you may use the following code:
t_table *bptable;
t_bpoint *bpoint;
bptable=(t_table *)Plugingetvalue(VAL_BREAKPOINTS);
if (bptable!=NULL) {
bpoint=(t_bpoint *)Findsorteddata(&(bptable->data),addr);
if (bpoint!=NULL) {
..... any necessary actions .....
}
}
OllyDbg Plugin API v1.10©


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 8 мая 2007 16:19 New!
Цитата · Личное сообщение · #14

Gideon Vi хех, мою ольку не палит... а вообще может палиться, вот почему:
защита включается во время загрузки жертвы в ольгу (так надёжнее) + FindWindows не
перехватывается на уровне дрова, хотя наверное можно прикрутить, спрошу у Арчера.

лана, скоро будет релиз, надо будет потестить...


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 11 мая 2007 09:07 New!
Цитата · Личное сообщение · #15

Hellspawn пишет:
мою ольку не палит...


патченую? попробуй на чистой.

Hellspawn пишет:
защита включается во время загрузки жертвы в ольгу (так надёжнее)


то есть тест может прочитать ольгин процесс до того, как плагин обрубит доступ?


Ранг: 2008.7 (!!!!)
Статус: Модератор
retired

Создано: 11 мая 2007 18:00 New!
Цитата · Личное сообщение · #16

Gideon Vi пишет:
то есть тест может прочитать ольгин процесс до того, как плагин обрубит доступ?

Может. Пока прога не загружена, плагин не грузит мой дров.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 12 мая 2007 03:17 New!
Цитата · Личное сообщение · #17

Archer пишет:
Может. Пока прога не загружена, плагин не грузит мой дров.


неприятно. почему сделано именно так?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 мая 2007 11:12 New!
Цитата · Личное сообщение · #18

сделано для большой совместимости, если бы плаг грузился при старте Ольги, и на
компе какой-нить АВ похучил нужные функи, то будет БСОД без вопросов (т.к. дроф хучит тоже)
и потом разбирайся почему при старте бсод, а тут хоть понятно будет, что накосячил плаг

з.ы. мне кажется так удобнее


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 13 мая 2007 06:03 New!
Цитата · Личное сообщение · #19

ну в плане совместимости моё уважение - ни с drweb, ни с аутпустом, ни даже с Safe’n’Sec плагин не конфликтует.
Может быть можно сделать два варианта запуска (в виде соответствующей опции): загрузка при старте и при подзагрузке программы?


Ранг: 75.0 (постоянный)
Статус: Участник

Создано: 13 мая 2007 16:34 New!
Цитата · Личное сообщение · #20

у меня плагин работает нормально, пока проблем не было, есть облом с некоторыми протами, но все это мелочи. ждем след. версии!


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 14 мая 2007 20:29 New!
Цитата · Личное сообщение · #21

Gideon Vi
Используй лучше сборочку ShadowOllyDbg под этот плагин,поудаляй всё лишнее,и при загрузке и старте victim
даже пищать не будет....


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 15 мая 2007 02:35 New!
Цитата · Личное сообщение · #22

Bronco пишет:
Используй лучше сборочку ShadowOllyDbg


Шибко мне понравилась русифицированная от vnekrilov - теперь никуда перелазить не хочется. Да я, в принципе, не спорю - переименовать некоторые строки (типа: OLLYDBG, _ODBG_, DBGHELP, _ADDSORTEDDATA, Debugger, CPU) не трудно, так что пожелание насчёт плагина - окончательное наведение лоска на сабж


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 15 мая 2007 16:50 New!
Цитата · Личное сообщение · #23

вообще я бы советовал юзать с плагом мою сборку ольги (я на ней тестю), выложу чуть позже
дальше Арчер по моей просьбе усили бревно, терь Ольгу вообще не должно быть видно нигде
но надо будет всё оттестить, так что готовтесь...


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 15 мая 2007 18:08 New!
Цитата · Личное сообщение · #24

Hellspawn пишет:
но надо будет всё оттестить, так что готовтесь...


обожаю ставить ядрёные драйвера на основную машину


Ранг: 2008.7 (!!!!)
Статус: Модератор
retired

Создано: 15 мая 2007 18:56 New!
Цитата · Личное сообщение · #25

Gideon Vi
Не боись, всё будет норм. ;) Из процессов Ольку заныкал, осталось с окошками разобраццо. С этим есть небольшие сложности, поскольку хз, какие функции в ядре хучить для этого... Но ничо, потрейсим, разберёмся. Хотя если у кого есть наработки по этому поводу, а также код на асме, который хучит прерывания на многоядерной тачке-милости прошу поделиццо.

Ранг: 228.7 (наставник)
Статус: Участник
malware research

Создано: 15 мая 2007 19:14 · Поправил: Error_Log New!
Цитата · Личное сообщение · #26

Archer пишет:
С этим есть небольшие сложности, поскольку хз, какие функции в ядре хучить для этого...


хучить надо функции Shadow SDT

NtUserBuildHwndList
NtUserFindWindowEx

Установка этих хуков имеет свои особенности, поищи где-то на форуме Ms-Rem писал про них.

Archer пишет:
код на асме, который хучит прерывания на многоядерной тачке-милости прошу поделиццо.


А это зачем?


Ранг: 2008.7 (!!!!)
Статус: Модератор
retired

Создано: 15 мая 2007 20:34 New!
Цитата · Личное сообщение · #27

Error_Log пишет:
А это зачем?

Дело в том, что для rdtsc юзается отдельный дров, он написан на С и там хукаются прерывания. А всё остальное написано на асме. Я бы слил эти 2 дрова в 1, но на асме лениво код переписывать для хука IDT на многопроцессорных тачках. Да и вообще, пригодился бы код.
Насчёт окошек я гляну код, спасибо.


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 16 мая 2007 22:46 New!
Цитата · Личное сообщение · #28

Hellspawn
С последними релизами плага ODbgScript(1.5Х),несовместимость.Ольга палится.
С версией 1.48 норма.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 мая 2007 23:13 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #29

Bronco пишет:
С последними релизами плага ODbgScript(1.5Х),несовместимость.Ольга палится.


конкретнее, с чем палиться? я хз что там аффтар того плага намутил, посмотрю конечно
возможно, окно плага детектиться...


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 16 мая 2007 23:43 New!
Цитата · Личное сообщение · #30

Hellspawn
Да второй раз попался на установке нового оллискрипт.
Удалил,вернул 1.48,вроде всё норма.
Решил перепроверить в третий раз,до сих разгребаю.


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 17 мая 2007 00:40 New!
Цитата · Личное сообщение · #31

Hellspawn
Это не упрёк,плаг просто чудо...))))
И детектор в норме.
Информирую с чем можно столкнуться.
Я пока откат ОС сделал...
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
 eXeL@B —› Софт, инструменты —› PhantOm plugin

Видеокурс ВЗЛОМ