Русский / Russian English / Английский

Сейчас на форуме: (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› PhantOm plugin
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 01:43 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 8 июля 2007 22:21 New!
Цитата · Личное сообщение · #2

Вопрос новичка: WindowsXP SP2, стоит чистая OllyDbg и один плагин - PhantOm.plugin.0.60.fix.zip. Проверяю работоспособность плагина программой EDD 0.44. На некоторых проверках Оля палилась, добавил галочки Ignore Exeptions в Оле(я новичек,не судите строго), также вручную добавил игнорирование ексепшена INVALID_HANDLE. Теперь во всех тестах Оля не палится, кроме одного - GetTickCount. Происходит прерывание по ексепшену с номером 00000000. Пытался добавить в Олю "последний возникший ексепшен" в список игнорирования - эта кнопка не активна. Вручную добавил ексепшен. Все хорошо, в тесте Оля перестает палится. Но как только перегружаю Олю ексепшен с номером 0000000 пропадает со списка ексепшеном для игнорирования. И следовательно, опять палится Оля тестом GetTickCount.
Где я не прав?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 8 июля 2007 22:33 New!
Цитата · Личное сообщение · #3

tempread

нажми "add range" и вбей от 0 до FFFFFFFF и всё будет норм....


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 9 июля 2007 02:06 New!
Цитата · Личное сообщение · #4

Hellspawn, как и думал, косяк с незагружаемым драйвером был в моей системе. После переустановки всё работает даже в такой ядрёной среде, как: фаер-антивирус-хид

Ранг: 23.6 (новичок)
Статус: Участник

Создано: 11 июля 2007 15:38 New!
Цитата · Личное сообщение · #5

-[ FileName ]
Status: Debugger detected!

Что можно сделать?


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 11 июля 2007 18:20 · Поправил: Spirit New!
Цитата · Личное сообщение · #6

[/b][b]N_E_O
Переименнуй OllyDbg.exe в VipeiYadu.exe

P.S.: Hellspawn, сорцы EDD не дашь?

Ранг: 23.6 (новичок)
Статус: Участник

Создано: 11 июля 2007 19:06 New!
Цитата · Личное сообщение · #7

Spirit пишет:
Переименнуй OllyDbg.exe


Пишет что не удаётся найти компонент ollydbg.exe

А плагина для скрытия от проверки [ FileName ] нету?


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 11 июля 2007 19:12 New!
Цитата · Личное сообщение · #8

N_E_O
Тогда в папке создай копию OllyDbg.exe и переименуй ее.
Запускай переименнованый.
А вообще Пишет что не удаётся найти компонент ollydbg.exe из-за того,
что ты юзаешь какието левые плаги.

Ранг: 35.1 (посетитель)
Статус: Участник

Создано: 11 июля 2007 19:14 New!
Цитата · Личное сообщение · #9

N_E_O
Скачай ольку от SLV там экзешник переименован и плюс устранено пару багов. Заюзай поиск по форуму по автору nopnop, он выкладывал тучу различных сборок.


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 11 июля 2007 19:22 · Поправил: Spirit New!
Цитата · Личное сообщение · #10

Amok пишет:
Скачай ольку от SLV

Гораздо проще проделать перименование, чем качать сборки.
Хотя я не спорю, если нужно распаковывать криптор или темиду с армой, лучше найти нужную сборочку.

З.Ы.: Кстати у меня тупо по GetTickCount палиццо . Хотя раньше такого небыло...
Зато по YieldExecution - вааще никогда


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 июля 2007 22:40 New!
Цитата · Личное сообщение · #11

Spirit пишет:
P.S.: Hellspawn, сорцы EDD не дашь?


позже скину, тока напиши куда...

Spirit пишет:
З.Ы.: Кстати у меня тупо по GetTickCount палиццо . Хотя раньше такого небыло...


странно, косяк с другими плагами? с посл. версиями фантомки и edd не должно ничего палиться...


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 11 июля 2007 23:07 New!
Цитата · Личное сообщение · #12

Hellspawn пишет:
косяк с другими плагами

хз. я для анти-анти-отладки еще только AdvacedOlly использую...


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 12 июля 2007 01:09 New!
Цитата · Личное сообщение · #13

Млин, у меня опять >> Status: Driver not loaded (code = -3). Вроде ничего с момента последнего поста не устанавливал, что за на фиг

N_E_O пишет:
Что можно сделать?


после загрузки edd посмотри, как у тебя сабж захукал (кнопка L на панели)

Spirit пишет:
Переименнуй OllyDbg.exe в VipeiYadu.exe


очень, очень смешно

Spirit пишет:
Тогда в папке создай копию OllyDbg.exe и переименуй ее.


ни надо этих плясок с бубдном - фантом прекрасно хайдит запущенный экзешни, что правда не спасает от поиска в папке, но это edd и не палит.

Spirit пишет:
Пишет что не удаётся найти компонент ollydbg.exe из-за того, что ты юзаешь какието левые плаги.


А что, есть правые (ака выпущенные разрабом ольги)? Все плаги левые и всем нужно ollydbg.exe, и _ODBG_ от экзешника.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 12 июля 2007 02:02 New!
Цитата · Личное сообщение · #14

N_E_O пишет:
-[ FileName ]
Status: Debugger detected!

Так этот детект постоянно палит...))))
либо загрузи какой нить сабж в ольгу,тогда и дровина сработает,либо перед запуском отладчика
запусти HideToolz.exe,и спрячь процесс.
Тогда детект палить не будет.
У Spirit, ЭГО развито...))))),вот он и прикалуется с переименованием....))))))


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 июля 2007 09:26 New!
Цитата · Личное сообщение · #15

Gideon Vi

попробуй поискать стоку в реестре extremehide.sys и удалить соотв. запись

Ранг: 23.6 (новичок)
Статус: Участник

Создано: 12 июля 2007 09:58 New!
Цитата · Личное сообщение · #16

Запускаю olly EDD детектит [ YieldExecution ] и [ FileName ] в настройках PhantOm'а ставлю единственную галку на "load driver" в логи оли "Status: Driver loaded" все проверки EDD проходит, но при запуске проги MyChatServer (EXECryptor ) olly всеровно вылетает

В чём может быть проблема?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 июля 2007 10:06 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #17

ольга должна быть патченная (класс окон) или прикрыть хайдтуулзами..
говнопрот детектит кривые хуки и бряки на апи, ер Да там много косяков, но
запустить можно


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 12 июля 2007 11:25 New!
Цитата · Личное сообщение · #18

Hellspawn пишет:
попробуй поискать стоку в реестре extremehide.sys и удалить соотв. запись


а, к стати мей би, мей би Я уже из образа восстановился, если опять не загрузится - проверю.

N_E_O пишет:
В чём может быть проблема?


в том, что это EXECryptor почитай соответствующую тему.

зы. в теме по MyChat есть скрипт by HAGGAR - заюзай, он классно антиотладку съедает.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 13 июля 2007 02:37 New!
Цитата · Личное сообщение · #19

Hellspawn, скажи честно - я неудачник?

-[ NtGlobalFlag]
Status: Debugger detected!


В логе всё лоадед и хукед. xADT проходит нормально. В системе только фаер и дрова стара с sptd, но я уже и их хуки с нотификацией снёс. Покажи, пожалуйста, кусок исходника по этой фишке из EDD


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 13 июля 2007 08:57 New!
Цитата · Личное сообщение · #20

log('-[ NtGlobalFlag]');
PEBNT:=GetPDB;
If (DWORD(PEBNT.i64NtGlobalFlag) <> 0) then log('Status: Debugger detected!') else log('Status: Nothing!');


как то так


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 13 июля 2007 23:31 New!
Цитата · Личное сообщение · #21

Hellspawn
Нашел трик, по которому олька палится.
Ссылка на сорец в ЛС.
Надеюсь добавишь анти-фичу.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 14 июля 2007 09:21 New!
Цитата · Личное сообщение · #22

Gideon Vi пишет:
скрипт by HAGGAR - заюзай, он классно антиотладку съедает.

У китайцев имхо скрипт лучше почти 100% попадает на VMоеп снимает гимор с восстановлением оеп единствено что часть скрипта по востановление импорта иногда нужно править ;) под старые сабжи..


Ранг: 500.6 (!)
Статус: Участник

Создано: 14 июля 2007 09:52 New!
Цитата · Личное сообщение · #23

pavka

Где этот скриптик (?), засвети.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 14 июля 2007 10:34 New!
Цитата · Личное сообщение · #24

Spirit

это старый трюк) ещё на васме читал про него... боюст сделать что-то врядли удасться,
т.к. это косяк в самом отладчике и как поправить хз

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 14 июля 2007 14:23 New!
Цитата · Личное сообщение · #25

NIKOLA пишет:
Где этот скриптик (?), засвети.

Я выкладывал где то в теме по скриптам вот на всякий держи я там паузы расставил на оеп можно вобще выдернут в отдельный скрипт и на иат там иногда править нужно .. хотя иат фигня главное первая часть

{ Атач доступен только для участников форума } - Execyptor By.okdodo.txt


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 14 июля 2007 22:07 New!
Цитата · Личное сообщение · #26

Hellspawn пишет:
это старый трюк) ещё на васме читал про него... боюст сделать что-то врядли удасться,
т.к. это косяк в самом отладчике и как поправить хз

Из этого следует - что если данный трик накрыть ВМом, то хрен кто под олей сможет прогу отлаживать?
Как-то ведь по-любому можно...


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 14 июля 2007 22:15 New!
Цитата · Личное сообщение · #27

Spirit пишет:
Как-то ведь по-любому можно...


можно, чтобы при вызове RDTSC генерилось исключение и таким образом отловить
все вызовы


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 14 июля 2007 22:20 New!
Цитата · Личное сообщение · #28

Hellspawn
Блин, значит можно и в плаг встроить...
Надо попросить помощь у наших гуру.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 июля 2007 22:30 New!
Цитата · Личное сообщение · #29

вопрос на засыпку, всё о том же:

>> NtUserQueryWindow
>> NtUserBuildHwndList
>> NtUserFindWindowEx
>> NtUserGetForegroundWindow

В принципе как достать функи ясно, но нужен дизасм, так вот, можно для этих целей заюзать
ольгин? Есть у кого примеры его? Чем быстрее я прикручу, тем быстрее будет релиз)))

з.ы. Арчер категорически не хочет ничего хардкорить!


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 16 июля 2007 22:32 New!
Цитата · Личное сообщение · #30

Hellspawn
А что конкретно нужно?


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 16 июля 2007 22:44 New!
Цитата · Личное сообщение · #31

Hellspawn
А Ms-Rem как находил эти функи? Вроде без хардкора, он заботился о совместимости... Спроси у нынешних владельцев исходников.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
 eXeL@B —› Софт, инструменты —› PhantOm plugin

Видеокурс ВЗЛОМ