Русский / Russian English / Английский

Сейчас на форуме: morgot, mkdev, rmn (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› PhantOm plugin
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 34 . 35 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 01:43 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 июля 2007 22:44 New!
Цитата · Личное сообщение · #2

конкретно, как юзать вот это

function Disasm(src: PChar; srcsize: ULONG; srcip: ULONG; srcdec: PChar;
disasm: p_disasm; disasmmode: Integer; threadid: ULONG): ULONG; cdecl;


src - это типо источник?
srcdec - это чё такое?
srcip - ?? -_-


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 17 июля 2007 13:08 New!
Цитата · Личное сообщение · #3

Hellspawn пишет:
src - это типо источник?

Похоже что так.Это же переменные,как хочешь так и обзывай...))))
У тебя только название функции?
В гугле что-то есть,и как раз для Ольги.
Но там регится надо,чтобы возможно слить сорцы.

Ранг: 213.5 (наставник)
Статус: Участник
забанен

Создано: 18 июля 2007 05:49 New!
Цитата · Личное сообщение · #4

Hellspawn
А чем не устраивает extreme_dumper\src\Libs\advApiHook.pas(?) или там, в аттаче его нет?
Вроде можно подкорректировать, как захочешь…
ИМХО Disasm думаю, в данной ситуации мало, чем полезна будет, ну или я пропустил какой-то пост, можно подробнее о реализации чуток (в одном посте), где нужно применить…
Просто эти параметры, о которых ты спрашиваешь чисто символические, важной является в данном случае структура disasm: p_disasm, которую заполняет Disasm, после этого надо будет анализировать полученные данные, конкретнее можно, какими данными из этой структуры ты хочешь воспользоваться?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 июля 2007 12:58 New!
Цитата · Личное сообщение · #5

Demon666

мне нужен дизасм длин не больше) ну тип команды + длинна чтоюы найти CALL XXXXXXXX и т.д.
но я не хочу ничё прикручиваться стороннее, ведь в ольге уже есть такая возможность

з.ы. отдыхал недельку))) ща вольюсь в русло с новыми силами....

Ранг: 228.7 (наставник)
Статус: Участник
malware research

Создано: 22 июля 2007 14:26 New!
Цитата · Личное сообщение · #6

Hellspawn
Дизасм тебе для чего нужен? Для нахождения самой Shadow SDT ? MsRem использовал свой ldasm для этих целей, номера сервисов захардкодены под разные билды виндов.


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 22 июля 2007 15:11 New!
Цитата · Личное сообщение · #7

Error_Log
Shadow SDT ищется в драйвере, это моя часть, я уже нашёл это дизасмом. Он ищет номера сервисов, хардкодить я ни в какую не хочу, поэтому ищет вызовы сервисов из user32.dll через дизасм.

Ранг: 213.5 (наставник)
Статус: Участник
забанен

Создано: 22 июля 2007 21:30 New!
Цитата · Личное сообщение · #8

Hellspawn
Ты скажи, у тебя получилось вызвать Disasm(?), со всеми параметрами, про которые спрашивал, предаваемыми в Disasm, разобрался?(или более подробнее расписать надо параметры?)
-------------------------------------
Hellspawn пишет:
ведь в ольге уже есть такая возможность

Ну не знаю, попробуй, но думаю надо делать свое при возможности, в некоторых моментах эти хитрожопые говнописатели протов придумывают такое просто слов нет, образно говоря даже кодингом Рема невозможно реализовать задуманное, возьму простенький для примера недавний случай, вот Smon у себя вставил сигнатуру, при которой Олькин анализатор если вдруг нарвется, то отладчик падает, не знаю, может это старая бага а может и новая без разницы, но это говорит уже о том, что лучше свое делать, чем юзать что-то другое, но идеи в принципе заюзать можно и чужие %) ИМХО
-------------------------------------
Hellspawn пишет:
+ длинна чтоюы найти

Вроде к Disasm претензий нет, возвращает в EAX реальную длину команды нормально, но есть один недостаток - это префиксы, с этим полностью нарушен правильный синтаксический анализ команды, скорее это делалось непосредственно для нужд самого отладчика, чем соблюдения общепринятых правил дизасмов...
(надо делать дополнительный цикл на проверку префикса, если такой имеется, отправлять заново на анализ, если этого не сделать, то при наличии в коде подсадных префиксов будет возвращаться неправильная длина команды)
Но это я так обобщающее на всякий случай, конкретно в твоем случае, возможно, этого не надо будет делать...
(мля, чет поискал на диске сейчас, так и не нашел хедеров на Delphi, наверно на другом компе)
Эта инфа для поверхностного анализа, что ниже (тебе, скорее всего этого достаточно будет)
Hellspawn пишет:
найти CALL XXXXXXXX

Что касается CALL xxxxxxxx тут, после того как Disasm сделает свое грязное дело и заполнит структуру, надо проанализировать поле структуры с именем
cmdtype dword ?; +[604h] One of C_xxx // сюда как раз и пишется тип команды
это константы, которые нужны для парсинга
C_TYPEMASK equ 0F0h; Mask for command type // обнуляем лишни биты при помощи and
C_JMP equ 050h; JUMP instruction // это если команда jmp
C_JMC equ 060h; Conditional JUMP instruction // это если команды типа jz,jpe etc.
C_CAL equ 070h; CALL instruction // это если команда CALL(для твоего случая как раз подойдет)
+ если потребуется, надо проанализировать еще поле структуры с именем
jmpaddr dword ?; +[630h] Destination of jump/call/return // тут будет реальный адрес прыжка или NULL

Блин, может вот так сразу и непонятно все это будет, приложу кусочек кода на всякий случай
В EDI адрес, который дизасмим
invoke Readcommand,edi,ADDR szTempBuffer
push eax
invoke Getcputhreadid
pop ecx
invoke Disasm,ADDR szTempBuffer,ecx,edi,0,ADDR disasm,DISASM_ALL,eax
.if eax != 0
mov ecx,disasm.cmdtype
and cl,C_TYPEMASK
.if cl == C_CAL
mov ecx,disasm.jmpaddr
.if ecx != 0
invoke Findmodule,ecx
.if eax != 0
mov ecx,disasm.jmpaddr
.if [eax+t_module.issystemdll] != 0
add esi,LengthCommand
mov FlagExport,0
mov TableBreakpointAddress,esi
.endif
.endif
.endif
.endif
.endif


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 2 августа 2007 22:19 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #9

PhantOm plugin 1.00

hellspawn.nm.ru/works/PhantOm.plugin.1.00.zip

[*] Добавлена защита окошек OllyDbg.
[*] Теперь OllyDbg патчиться независимо от ImageBase.


переписан дроф, стал ещё стабильнее
ну ещё мелкие баги пофиксил... энжой млин)))))))


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 3 августа 2007 00:19 · Поправил: Bronco New!
Цитата · Личное сообщение · #10

Hellspawn
Хрюшка_со_вторым_пакетом_OLLYDBG_из_сборки_ShadowOllyDbg
-------------
Log data
Address Message
OllyDbg v1.10
CommandBar v3.10.109c
Original Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn
OllyDump v3.00.110 by Gigapede
OllyDbg PE Dumper v3.03 by FKMA

PhantOm plugin 1.00
by Hellsp@wn & Archer
ODbgScript v1.48
by Epsylon3@gmail.com from OllyScript 0.92 by SHaG
ODbgScript v1.64.3
odbgscript.sf.net

>> Status: OutputDebugString patched
>> Status: Exceptions handler patched
NtUserGetForegroundWindow = 00001194
NtUserFindWindowEx = 0000117a
NtUserQueryWindow = 000011e3
NtUserBuildHwndList = 00001138
>> 222
>> Status: Driver loaded
New process with ID 0000054C created
00469674 Main thread with ID 0000062C created
>> Status: ZwQueryInformationProcess hooked
>> Status: ZwSetContextThread hooked
>> Status: PEB patched [on system]
>> Status: KiUserExceptionDispatcher hooked
>> Status: ZwContinue hooked
>> Status: GetTickCount hooked
----------------
Детектор новый будет?
EDD всё равно секёт на -[ FileName ]


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 3 августа 2007 16:25 New!
Цитата · Личное сообщение · #11

Hellspawn пишет:
энжой млин)))))))


Пасиб за релиз - один из маст-хевных плагов для Оли

Bronco пишет:
EDD всё равно секёт на -[ FileName ]


Ага, подтверждаю

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 3 августа 2007 16:25 New!
Цитата · Личное сообщение · #12

Такой вопрос.... После установки последней версии фантома,во время отладки, у меня начал вылетать экплорер(ошибки доступа к памяти).Причем не во время серфинга, а тот процес explorer, который рабочий стол делает. Причем ошибки появляются даже если ничего не делаешь(пару раз я просто по тел. говорил, и выскочила ошибка). Касперского на машине нет. Система Windows XP SP2 со всеми обновлениями по безопасности. Может быть фантом в этот виноват?


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 3 августа 2007 16:37 New!
Цитата · Личное сообщение · #13

tempread
Попробуй отключить опцию скрытия окошек, может с этим связано. А вообще я дроф тестил довольно тщательно на совместимость и безопасность, в принципе, не должно быть такого.


Ранг: 199.4 (ветеран)
Статус: Участник

Создано: 3 августа 2007 16:55 New!
Цитата · Личное сообщение · #14

tempread пишет:
После установки последней версии фантома,во время отладки, у меня начал вылетать экплорер(ошибки доступа к памяти).

+1 - вылетает XP SP1


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 3 августа 2007 17:14 New!
Цитата · Личное сообщение · #15

YDS
Я ж говорю, попробуйте отключить скрытие окошек. Это дало что-нибудь?

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 3 августа 2007 17:34 · Поправил: tempread New!
Цитата · Личное сообщение · #16

Хотел еще потестить, но раз прозвучал вопрос,отвечу. После отлючения скрытия окошек,где-то за час ни одной проблемы не было. Сейчас включил скрытие окошек, и пытаюсь получить проблему...Но 5 минут прошло уже, а пока все тихо....

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 3 августа 2007 17:42 New!
Цитата · Личное сообщение · #17

Есть ошибка!

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 3 августа 2007 17:57 · Поправил: tempread New!
Цитата · Личное сообщение · #18

Нашел способ повторения проблемы!(или по крайней мере у меня проблема всегда есть)
1. Запускаем OllyDbg с одним плагином фантомом.
2.Открываем calc.exe.
3.Ставим брекпоинт(F2) за пару команд от EP.
4.Нажимаем F9.
5. Щелкаем правой кнопкой мыши на панели задач, и выбираем "Диспетчер задач"
6.Если нет ошибки, повторяем п.3-6.

У меня ошибка возникает на первой-второй итерации.

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 3 августа 2007 18:37 New!
Цитата · Личное сообщение · #19

И еще, я не знаю, это баг или нет.
Замечал и в прошлой версии фантома, заметил и в этой.
При установке-удалении плагина, почему то OllyDbg "забывает" о том, что стоят галочки Options-Debugging options-Exceptions о передаче всех ексепшенов отлаживаемой программе. Причем нарисованные галочки есть, но по факту результата нет. Решение проблемы - снять эти галочки, и поставить опять.


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 3 августа 2007 18:46 New!
Цитата · Личное сообщение · #20

tempread
Хм, у меня стоит Win XP SP2 чистая (без патчей, из софта только сайс). Сколько ни тыкал, баг повторить не удалось. =/ И проги разные грузил и итераций штук по 10 было. Зато заметил, что процесс ольки светиццо в taskmgr, что ахтунг, видимо, что-то я всё-таки прозевал.

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 3 августа 2007 18:51 · Поправил: tempread New!
Цитата · Личное сообщение · #21

Хотел проверить еще раз свои слова, повторить глюк. Сделал несколько итераций - нет ошибок. Нажал пуск,и выбрал ярлычек эксплорера - и выскочила ошибка. Так что мой метод у меня работает и сейчас...
И еще, уже дважды был одинаковый глюк.
Загружаю в Олю Calс.exe. Останавливается она на EP. Больше ничего не делаю в Оле. Щелкаю правой кнопкой по панели задач. Щелкаю в меню по "Диспетчер задач" - ничего не происходит. Раз щелкнул,второй - нет результата. Нажал F9 -запустился калькулятор. Вызвал опять "Диспетчер задач" - открывается. Но при нажатии на кнопку "Пуск" - опять ошибка.
И еще хочу добавить, что я перегружаюсь после каждой установки-удалении плагина, а также после возникающих ошибок.


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 3 августа 2007 19:22 New!
Цитата · Личное сообщение · #22

Archer пишет:
процесс ольки светиццо в taskmgr

ХР сп2, процесс нигде не светится, но таскманагер падает через секунду после запуска. Експлорер ведет себя нормально.

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 3 августа 2007 19:30 New!
Цитата · Личное сообщение · #23

У меня в диспетчере задач процесс ollydbg.exe есть , все поля указаны, но в поле "Имя пользователя" ничего нет.


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 3 августа 2007 19:41 · Поправил: Archer New!
Цитата · Личное сообщение · #24

Олька не ныкалась из процессов-это мой косяк с драйвером, я пофиксил.
Что касается ошибки у tempread, то лично я у себя на виртуалке повторить её не могу. Чисто теоретически я могу подумать только на 1 вещь, её я тоже поправил, будем с хеллспавном думать насчёт фикса. А пока пусть остальные выскажутся на тему этого косяка, кто смог повторить?
Как вариант-попробуйте повырубать все фаеры/антивири и прочую муть. Отдельная история с каспером, в идеале его бы анинсталлить нах, но если стоит, предупреждайте, буду думать.

Ранг: 220.9 (наставник)
Статус: Участник

Создано: 3 августа 2007 19:44 New!
Цитата · Личное сообщение · #25

tempread пишет:
У меня в диспетчере задач процесс ollydbg.exe есть , все поля указаны, но в поле "Имя пользователя" ничего нет.

У меня тоже имени пользователя нет. Вынь ХР СП2


Ранг: 251.8 (наставник)
Статус: Участник
Seeker

Создано: 3 августа 2007 19:45 New!
Цитата · Личное сообщение · #26

tempread
Не подтверждаю, реальная машина, WinXP Home SP2, OllyDbg XP Style, Phantom 1.0


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 3 августа 2007 19:48 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #27

сёня пол дня возился с одним заказом, при этом мучал ольгу нещадно,
как оказалось потом, я забыл уюрать галку "грузить дроф" и никаких косяков,
система основная XP sp2... будем разбираться с вашими)))

з.ы. исправлен косячок в дрове... тестим дальше!

hellspawn.nm.ru/works/PhantOm.plugin.1.01.zip


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 3 августа 2007 19:59 · Поправил: Bronco New!
Цитата · Личное сообщение · #28

У меня тоже этих косяков с калькулем,нет.WinXPpro,SP2 корпоративный,ставил как обновление.
В Диспетчере, Олюшка светиться,и в приложениях,и в процесах.
-----
Что касается галок в чеках,да и вообще.Один раз попался,терь перед инсталом нового любого плага,фантом сношу,в ини его параметры,тоже затираю.Стартую отладчик без фантома,и с новыми плагами,закрываю.
Инсталю фантом,выставляю чеки.Суета, но так спокойней


Ранг: 500.5 (!)
Статус: Участник

Создано: 3 августа 2007 20:03 New!
Цитата · Личное сообщение · #29

XP SP2 Corporate - при выставлении галки дроф - бсод, выгрузил AtiTrayTools и DaemonTools, отключил Drweb, дроф загрузился
Да, кстати - плагин устраняет "антидамп" пепа ? - олька с ним у меня не висит выделяя за 700 мб памяти, а грузиццо сразу
Пока что не помогает от обсидиума, от фемиды, да и от пепа тоже

Ранг: 220.9 (наставник)
Статус: Участник

Создано: 3 августа 2007 20:04 New!
Цитата · Личное сообщение · #30

Хм... щас експлорер слетел....
Загрузил ольку, в фантоме снял галку с "Hide OllyDBG window", вызвал таскманагер, бах, и експлорер слител...


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 3 августа 2007 20:06 New!
Цитата · Личное сообщение · #31

Smon пишет:
Пока что не помогает от обсидиума


эм? летает тока в путь, главное не включать protect drx, в проте самотрассировка...
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 34 . 35 . >>
 eXeL@B —› Софт, инструменты —› PhantOm plugin

Видеокурс ВЗЛОМ