Русский / Russian English / Английский

Сейчас на форуме: LoxmatbIj, r0lka (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› PhantOm plugin
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 01:43 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 17 мая 2007 02:08 New!
Цитата · Личное сообщение · #2

Bronco пишет:
Ольга палится.

А на чём (и чем?)?
Bronco пишет:
Я пока откат ОС сделал...

ODbgScript вылез в ring-0?


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 17 мая 2007 02:34 · Поправил: Bronco New!
Цитата · Личное сообщение · #3

Gideon Vi
Получается что фантом должен всегда быть последним в "списке",т.е.перед добавлением нового любого плагина(на ODbgScript погрешил зря),надо фантом снести,стартонуть ольгу с новым плагом,а потом опять закинуть фантом.
Кста последний ODbgScript(_http://downloads.sourceforge.net/odbgscript/ODbgScript.1.5 5.3.VC6.rar?modtime=1179131255&big_mirror=0),прикольный.Столько наворотов...
И уже скрипты vnekrilov дорабатывать не надо,сбоев на поиске API в иат нет....)))))


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 27 июня 2007 22:51 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #4

Ну вот, выкроил я время между работой, учёбой, отдыхом и закодил новую версию.

PhantOm plugin 0.60

[*] Добавлена собственная обработка исключений (C000001E, 80000001, C000001D).
[*] Добавлено удаление int3 с EntryPoint.
[*] Исправлен баг с GetTickCount.
[*] Добавлены методы анти-детекта в драйвер.


hellspawn.nm.ru/works/PhantOm.plugin.0.60.zip

и заодно обновил:

Extreme Debugger Detector 0.44

hellspawn.nm.ru/works/EDD.0.44.zip

от аффтара:

Ну что, добавил всё что просили, кроме остановки на тлс, не хватило меня на это, будет в следующем
релизе. Хэндлинг исключений - вообще я патчу debug loop в ольге, ну и если это нужное нам
исключение, то сразу обрабатываем его! Могут быть косяки, т.к. другие плаги никогда не узнают
об этих событиях. Заодно прикрыл баг с PageGuard.


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 27 июня 2007 23:12 New!
Цитата · Личное сообщение · #5

вопрос по Extreme Debugger Detector 0.44
YieldExecution это че за проверка? она у меня детектит дебаггер при выключенной ольке


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 27 июня 2007 23:16 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #6

Это типо новый финт. В е-зиносе можно почитать, если интересно
Значит у тебя запущена какая-то прога с дебажными привелегиями или ты
запускал ольгу за сеанс... Как-то так, или тупо косяк


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 27 июня 2007 23:49 New!
Цитата · Личное сообщение · #7

Hellspawn
Ещё не тестил,но уже радости "полные штаны"
Под любую сборку отладчика подойдёт,или ждать авторскую сборку?)))))


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 июня 2007 00:16 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #8

Bronco пишет:
Под любую сборку отладчика подойдёт,или ждать авторскую сборку?)))))


Почти под любую, просто там опции некоторые сами отключатся, но в логе вся инфа будет!
Задача потестить дроф + погонять новые опции, я вроде глянул мельком, косяков не было

з.ы. Сборочку свою может и выложу, как до ума доведу...

Ранг: 10.8 (новичок)
Статус: Участник

Создано: 28 июня 2007 01:11 New!
Цитата · Личное сообщение · #9

Hellspawn пишет:
Задача потестить дроф + погонять новые опции

Погонял на чистой и патченой ольке, xpsp2. Багов за время теста не было...
Так что "Well done!"


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 28 июня 2007 04:04 New!
Цитата · Личное сообщение · #10

А у меня херня какая-то...))))
Ставлю бряки,ольга падает,надо со старым плагом сравнить,тогда буду уверен.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 28 июня 2007 08:13 New!
Цитата · Личное сообщение · #11

Bronco пишет:
Ставлю бряки,ольга падает

Силньно не гонял но все нормально,глюков ошибок не было, чистая олька ХРSP2


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 июня 2007 10:50 New!
Цитата · Личное сообщение · #12

Bronco пишет:
А у меня херня какая-то...))))
Ставлю бряки,ольга падает,надо со старым плагом сравнить,тогда буду уверен.


Хех, поиграйся с опциями, в логе ошибок нету? На обычных бряках падает?


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 28 июня 2007 11:13 New!
Цитата · Личное сообщение · #13

Hellspawn
Я лог не смотрел,башка запепеная...))))
Yes,Оторвал!!!!!!...)))))))
-------------
С бряками не знаю,надо рабираться.Скорее всего мои руки кривые...))))))))))


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 28 июня 2007 11:34 New!
Цитата · Личное сообщение · #14

При нажатии GetTickCount - Exception InvH, после обработки которого падает _ОЛЬГА_.
Addr: 7943fc7d, 0xc0000005. Все плагины отключены. Windows XP 05.01.2600 SP 2 .

Причем иногда Ольга просто тихо вырубается, иногда с сообщением об ошибке, иногда как ни в чем ни бывало продолжает свою работу...


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 июня 2007 11:46 New!
Цитата · Личное сообщение · #15

странно) короче сделай так, загрузи одну ольгу в другую ыы) в одной включи плаг,
дальше поставь бряк на 004AF6E9 и глянь что тамт твориться...


Ранг: 105.9 (ветеран)
Статус: Участник

Создано: 28 июня 2007 11:52 New!
Цитата · Личное сообщение · #16

Hellspawn
только что проверил, запустил OLLY (NtOpenProcess (7A) перехвачена (8057459E->F8C886B8), перехватчик C:\DOCUME~1\seeQ\LOCALS~1\Temp\extremehide.sys), потом отдельно (не под отладчиком) Execryptor 2.3.9. Ollydbg закрылась. Очень странно.


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 28 июня 2007 11:53 New!
Цитата · Личное сообщение · #17

004AF6E9 A1 20574D00 MOV EAX,DWORD PTR DS:[4D5720]
004AF6EE 3D 1E0000C0 CMP EAX,C000001E
004AF6F3 74 20 JE SHORT OLLYDBG.004AF715
004AF6F5 3D 01000080 CMP EAX,80000001
004AF6FA 74 19 JE SHORT OLLYDBG.004AF715
004AF6FC 3D 1D0000C0 CMP EAX,C000001D
004AF701 74 12 JE SHORT OLLYDBG.004AF715
004AF703 90 NOP
004AF704 90 NOP
004AF705 90 NOP
004AF706 90 NOP
004AF707 90 NOP
004AF708 90 NOP
004AF709 90 NOP
004AF70A 90 NOP
004AF70B 68 14574D00 PUSH OLLYDBG.004D5714
004AF710 ^E9 5A9FF8FF JMP OLLYDBG.0043966F
004AF715 BB 01000180 MOV EBX,80010001
004AF71A 53 PUSH EBX
004AF71B A1 1C574D00 MOV EAX,DWORD PTR DS:[4D571C]
004AF720 50 PUSH EAX
004AF721 8B15 18574D00 MOV EDX,DWORD PTR DS:[4D5718]
004AF727 52 PUSH EDX
004AF728 E8 5005F978 CALL 7943FC7D <========= Вот по этому адресу ничего нету!!
004AF72D ^E9 4599F8FF JMP OLLYDBG.00439077

З.Ы. Три олги одна в другой - изящно выглядит =D


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 июня 2007 11:57 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #18

по окошкам ольгу всё ещё можно найти
для того чтобы прикрыть эту хрень, мне нужно вытащить адреса этих функций:

>> NtUserQueryWindow
>> NtUserBuildHwndList
>> NtUserFindWindowEx
>> NtUserGetForegroundWindow

кто знает как проще?

HoBleen пишет:
004AF728 E8 5005F978 CALL 7943FC7D <========= Вот по этому адресу ничего нету!!


должно быть:
004AF728 E8 5005F978 CALL KERNEL32.ContinueDebugEvent

Странно, я вроде всё проверял... Стукни в асю!


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 июня 2007 12:29 New!
Цитата · Личное сообщение · #19

так, баг нейтрализован, рекомендую закачать исправленную версию:

hellspawn.nm.ru/works/PhantOm.plugin.0.60.fix.zip

Ранг: 162.2 (ветеран)
Статус: Участник

Создано: 28 июня 2007 12:54 New!
Цитата · Личное сообщение · #20

Hellspawn
Это из какой библы?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 июня 2007 12:56 New!
Цитата · Личное сообщение · #21

вообще это функи из WIN32K.SYS но нельзя ли цепануть адрес из user32.dll?
там же по идеи переходники должны быть...

Ранг: 162.2 (ветеран)
Статус: Участник

Создано: 28 июня 2007 13:28 · Поправил: asd New!
Цитата · Личное сообщение · #22

Hellspawn
Сомнительно что можно. там переходники не такие как в ntdll. Вот тут http://www.hackerthreads.org/phpbb/viewtopic.php?t=8490&sid=3565df51df 04a994e042d47ef0c421b9 http://www.hackerthreads.org/phpbb/viewtopic.php?t=8490&sid=3565df51df04a994e042d47ef0c421b9 написано про некоторые из этих функций и про связанные с ними ф-ии из user32.dll
Предлагаю захардкорить номера вызовов, не так уж и много у тебя систем.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 28 июня 2007 17:08 New!
Цитата · Личное сообщение · #23

Hellspawn пишет:
так, баг нейтрализован, рекомендую закачать исправленную версию


пользую русифицированную внекрыловым ольгу (ну шибко мне понравилось ). Единственное отличие: перебиты OLLYDBG и _ODBG_ на своё. Разумеется в плаге всё тоже было заменено - никаких ошибок при загрузке небыло.

PhantOm plugin 0.60
by Hellsp@wn & Archer

>> Status: OutputDebugString patched
>> Status: Exceptions handler patched
>> Status: Driver not loaded (code = -3)
>> Status: RDTSC not hooked (code = -3)
Создан новый процесс с ID 00000A9C
0045219C Создан главный поток с ID 00000A64
>> Status: ZwQueryInformationProcess hooked
>> Status: ZwSetContextThread hooked
>> Status: PEB patched [on system]
>> Status: KiUserExceptionDispatcher hooked
>> Status: ZwContinue hooked
>> Status: GetTickCount hooked


С прошлой версией плага проблем небыло.

Ранг: 228.7 (наставник)
Статус: Участник
malware research

Создано: 28 июня 2007 17:44 New!
Цитата · Личное сообщение · #24

Hellspawn пишет:
по окошкам ольгу всё ещё можно найти

Ну а чем HideTools последний не устраивает? Или он не совместим с плагином этим?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 июня 2007 17:44 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #25

я с дровами вообще ничего не трогал а код -3 означает, что
драйверу не удалось загрузиться!

Error_Log пишет:
Ну а чем HideTools последний не устраивает? Или он не совместим с плагином этим?


вроде Арчер говорил, что совместим должен быть ну можно дроф не грузить, тогда
всё норм будет...

з.ы. окошки позже прикручу...


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 28 июня 2007 18:22 New!
Цитата · Личное сообщение · #26

Error_Log
Не, с HideToolz пока ещё не совместим (вроде). Я уже поправил пару багов, которые могли приводить к несовместимости, но этот дров пока не используется. Когда найдём адреса функций из Shadow SDT, будет новый дроф, специально его погоняю на совместимость тогда и на разные косячки.


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 28 июня 2007 19:25 New!
Цитата · Личное сообщение · #27

Archer
Правильно! Только еще погоняй вместе с RkUnhooker - один раз он меня в бсод загнал, один раз - сбросил хуки (или еще как-то напоганил) фантома. Ну и другие антируткиты =)


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 28 июня 2007 22:29 New!
Цитата · Личное сообщение · #28

HoBleen
Да хуки он сбросит, тут ничо не поделаешь, ибо постоянно восстанавливать хуки-это извращение, а вот насчёт бсодов, попробую глянуть.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 28 июня 2007 22:43 New!
Цитата · Личное сообщение · #29

Archer пишет:
с HideToolz пока ещё не совместим (вроде).

У меня всё совместимо...)))))))))
Надо просто приловчиться,чтобы "два раза на одни грабли не наступать"
Обе утили,просто находка для шпиона...))))))))


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 29 июня 2007 07:29 New!
Цитата · Личное сообщение · #30

Hellspawn
Блин, потестил плаг...
В общем у меня патченная оля, и такие плаги:
HideOD
HideDebugger
IsDebuggerPresent
И твой...

Запустил EDD и начал щелкать по всем кнопкам, при щелчке на GetTickCount у меня оля выдала окно с ошибкой и пошла спать...
Я так не играю!
З.Ы.: Могу флешкой показать...
З.З.Ы.: Кстати HideOD почему-то спалился...


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 29 июня 2007 08:31 New!
Цитата · Личное сообщение · #31

Spirit пишет:
при щелчке на GetTickCount у меня оля выдала окно с ошибкой и пошла спать...


Hellspawn пишет:
так, баг нейтрализован, рекомендую закачать исправленную версию:
hellspawn.nm.ru/works/PhantOm.plugin.0.60.fix.zip
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
 eXeL@B —› Софт, инструменты —› PhantOm plugin

Видеокурс ВЗЛОМ