eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: mm2306 (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Hide Debugger 1.2
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 4 сентября 2004 22:12 New!
Цитата · Личное сообщение · #1

Ну вот я наконец его доделал
Требуется протестировать в 2k(sp4), XP(SP2) и 2k3.

Чуть позже он появится на wasm(когда info оформлю),
а пока жду, какие будут комментарии..

Кто не поленится протестировать то обращайте внимание на лог Olly,
если будут ошибки то это будет отображено в логе красным цветом.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 4 сентября 2004 22:13 New!
Цитата · Личное сообщение · #2

Ранг: 0.0 (гость)
Статус: Участник

Создано: 5 сентября 2004 01:32 New!
Цитата · Личное сообщение · #3

Ну ничего, Арма и Аспр не жалуются...

Ранг: 0.0 (гость)
Статус: Участник

Создано: 5 сентября 2004 02:04 New!
Цитата · Личное сообщение · #4

Asterix

Спасибо большое, потестируем!

Ранг: 13.1 (новичок)
Статус: Участник
EGOiSM FEELiNG

Создано: 5 сентября 2004 03:25 New!
Цитата · Личное сообщение · #5

усе отлично


Ранг: 630.8 (!)
Статус: Участник
Автор VB Decompiler

Создано: 5 сентября 2004 04:52 New!
Цитата · Личное сообщение · #6

Asterix пишет:
Ну вот я наконец его доделал

Молодец! Отлично! Потестирую


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 5 сентября 2004 06:37 New!
Цитата · Личное сообщение · #7

XaErO пишет:
Арма и Аспр не жалуются...

они и раньше не сильно жаловались...
Вот SoftDefender (aka SDProtector) например аж 5 имён классов окон олли не любил, и активмарк'у тоже что-то в олли очень не нравилось...
Приду домой - потестю на них.
ЗЫ не качается почему-то у меня этот аттач

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 5 сентября 2004 08:30 New!
Цитата · Личное сообщение · #8

Лучше использовать эту версию т.к. у нее более корректный алгоритм, добавлены проверки и функция записи в лог ошибок.

Mario555
> ЗЫ не качается почему-то у меня этот аттач
Попробуй взять по этой ссылке:
www.wasm.ru/forum/files/_1368105966__HideDebugger12.rar

> аж 5 имён классов окон олли не любил

Класс окна сменить в рантайме не просто, проще пропатчить сам ollydbg.exe

Зато pulya.exe теперь запускается


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 5 сентября 2004 11:02 New!
Цитата · Личное сообщение · #9

Asterix пишет:
Класс окна сменить в рантайме не просто, проще пропатчить сам ollydbg.exe

так и делал

Asterix пишет:
pulya.exe теперь запускается

проще переименовать ollydbg.exe ;)

ps а файл всё-равно не качается... видно этот комп просто глючный...

Ранг: 1.0 (гость)
Статус: Участник

Создано: 5 сентября 2004 12:49 New!
Цитата · Личное сообщение · #10

XaErO пишет:
Ну ничего, Арма и Аспр не жалуются...

ну я по непонятной причине вообще сабж не юзаю, потому что есть у меня IsDebuggerPresent Hider - арма и аспр до сих пор не жалуются, самых свежих версий.
Asterix пишет:
Ну вот я наконец его доделал

а что именно? ты прикрывал какие-то новые способы обнаружения ольки?


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 6 сентября 2004 19:06 New!
Цитата · Личное сообщение · #11

Скачал. Вечером потестю на Вынь2кСП4

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 9 сентября 2004 17:44 New!
Цитата · Личное сообщение · #12

Mario555
> Вот SoftDefender (aka SDProtector) например аж 5 имён классов окон олли не любил

Ты определил как он это делает, т.е. класс окна определяет?


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 10 сентября 2004 14:09 New!
Цитата · Личное сообщение · #13

не, даже не пробовал определить... там очень злобный антитрейс и поэтому по коду протектора особо не разгуляешься

но наверно там используется какое-нить EnumWindow, причём работает это в отдельном треде...

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 10 сентября 2004 15:29 New!
Цитата · Личное сообщение · #14

Mario555
> но наверно там используется какое-нить EnumWindow

Я пробовал, бряки на EnumWindows и FindWindow (A/W) и др. ничего не дали..


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 10 сентября 2004 15:32 New!
Цитата · Личное сообщение · #15

а оно у тебя под олей запускается чтоли ?

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 10 сентября 2004 15:55 New!
Цитата · Личное сообщение · #16

> а оно у тебя под олей запускается чтоли ?

А, ты хочешь сказать что протектор просто раньше находил Olly используя антитрассировочные трюки? Ну тогда бессмысленно пытаться защититься от поиска окошек раз используется антитрассировка..


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 10 сентября 2004 16:41 New!
Цитата · Личное сообщение · #17

одно радует - эта хреновина файлы нормально паковать не умеет... у меня ни один после обработки SDProtector'ом не запустился...


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 12 сентября 2004 07:12 New!
Цитата · Личное сообщение · #18

Прожка jv16 PowerTools кричит, что находится под отладкой.
Качать с www.macecraft.com

Ранг: 1.0 (гость)
Статус: Участник

Создано: 12 сентября 2004 10:53 New!
Цитата · Личное сообщение · #19

да и SDProtector тоже

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 12 сентября 2004 11:51 New!
Цитата · Личное сообщение · #20

WELL
Если прога использует антитрассировочные приёмы то фиг чего там сделаешь в Olly и плагин не поможет.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 12 сентября 2004 12:42 New!
Цитата · Личное сообщение · #21

Кстати, вот код, который прибивает Olly, и я пока не придумал как защититься,
кроме как пропатчить exe'шник.


format PE GUI 4.0
entry start

include '%fasminc%\win32a.inc'


section '.code' code readable writeable executable

align 4
start:
invoke FindWindow, ClassName, NULL
test eax, eax
jz @F
invoke PostMessage, eax, WM_CLOSE, 0, 0
@@:
invoke ExitProcess, 0


section '.data' data readable writeable

ClassName db 'OLLYDBG',0



section '.idata' import data readable

library kernel32,'KERNEL32.DLL',\
user32,'USER32.DLL'

include '%fasminc%\APIA\KERNEL32.INC'
include '%fasminc%\APIA\USER32.INC'

Ранг: 0.0 (гость)
Статус: Участник

Создано: 12 сентября 2004 15:43 New!
Цитата · Личное сообщение · #22

WELL
Ты её трейсил? Когда я её смотрел (около года назад вроде) там стояла обработка времяни выполнения кода.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 12 сентября 2004 15:47 New!
Цитата · Личное сообщение · #23

Asterix
Единственное что пришло в голову, так это перехватить API и по фильтрить её выход

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 12 сентября 2004 16:07 New!
Цитата · Личное сообщение · #24

RU_Ban0K

Да, это можно, но мне почему-то кажется что класс окна можно найти и другими способами, т.е. возможно через другие функции, native например..

Ранг: 0.0 (гость)
Статус: Участник

Создано: 13 сентября 2004 08:00 New!
Цитата · Личное сообщение · #25

Чтото не помню чтобы натив на user распростронялся...
Вроде нет такого, или я не прав?

Ранг: 19.6 (новичок)
Статус: Участник

Создано: 13 сентября 2004 09:01 New!
Цитата · Личное сообщение · #26

Asterix пишет:
кроме как пропатчить exe'шник.

я вот ольку пропатчил в ilya.exe и плагины все которые мне нужны...пока не жалуюсь ни на что


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 13 сентября 2004 09:58 New!
Цитата · Личное сообщение · #27

Короче да. Там в натуре проверка трэйса.
Так что плагин рулит (по мере сил)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 13 сентября 2004 10:02 New!
Цитата · Личное сообщение · #28

ilya
> и плагины все которые мне нужны...пока не жалуюсь ни на что

А что должны что-ли? ;)

Приведённый выше код прибьёт твою Ольку, вместе со всеми плагинами, если конечно ты не пропатчил вдобавок класс окна, ну это не сложно, нужно только заглянуть в дизассемблер ;)

Ранг: 19.6 (новичок)
Статус: Участник

Создано: 13 сентября 2004 10:29 · Поправил: ilya New!
Цитата · Личное сообщение · #29

имя процесса: ilya.exe
имя класса окна: ilyaDBG
текст окна: ilyaDbg - [CPU]
а плагины я патчил чтоб они принимали файло ilya.exe
с такой конфигурацией программам её ни найти

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 13 сентября 2004 13:14 New!
Цитата · Личное сообщение · #30

ilya
Давненько хотел крякми написать по опредлению ольки, там есть с 10 методов.
Но сейчас меня ещё один осенил, озвучивать его я не буду, вот кто крякми будет ломать увидит ;)
Мой метод обнаружения перечеркивает все попытки смены имен окон, назв. файла и т.п.
Вообщем постараюсь на выходных состряпать.
. 1 . 2 . >>
 eXeL@B —› Основной форум —› Hide Debugger 1.2

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS