eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме:
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Скрытие OllyDbg от EXECryptor
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 8 января 2007 05:25 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #1

собственно сабж, в принпице спрятать ольгу не сложно, все методы известны...
Перечислять всю антиотладку в говнопроте нет смыла...
но вот скачал прогу FastSatfinder на ней один из последних EXECryptor
(скорее всего в защите выставлены не все галки) но есть новый трюк с "Invalid Handle"

теперь ближе к делу, под олькой эта прога падаед, никак не могу заставить
её работать. Под моим Easy Debugger всё ок) достаточно было сделать

case DE.Exception.ExceptionRecord.ExceptionCode of
EXCEPTION_INVALID_HANDLE : ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE);
EXCEPTION_BREAKPOINT : Form1.ExceptionBreakpoint(DE);
EXCEPTION_SINGLE_STEP : Form1.ExceptionSingleStep(DE);
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
end;


и всё как надо, я не могу понять почему, что-то олли не так обрабатывает...
просьба скачать прогу и попробовать запустить под любой сборкой олли (Snadow,OllIce и т.д.)!
поиграть плагинами, и если запуститься то отписаться какая сборка, плаги, ось
это очень важно...

тут прога:
2.28 mb
http://download-zone.org/10484 http://download-zone.org/10484

Ранг: 160.3 (ветеран)
Статус: Участник

Создано: 10 января 2007 02:59 New!
Цитата · Личное сообщение · #2

/*401021*/ mov dword ptr ds:[4020B8],poc.004010C3
Вообщем если на адресс 4020B8 поставить меморе брекпоинт то после того как нажать F9 она остановиться на строчке которую я привел и если нажать еще раз F9 то появиться что все гуд.
Как же сделать чтобы все было коректно при трасировки пока не решил.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 января 2007 03:14 New!
Цитата · Личное сообщение · #3

хех, пропатчил твоим способом ольку, ничё хорошего терь возникает
event 00000000 и тест не проходит...

Ранг: 52.6 (постоянный)
Статус: Участник

Создано: 10 января 2007 03:17 New!
Цитата · Личное сообщение · #4

Cigan пишет:
Как же сделать чтобы все было коректно при трасировки пока не решил.


Мой патч пробовал?

Ранг: 52.6 (постоянный)
Статус: Участник

Создано: 10 января 2007 03:18 · Поправил: WarrioR New!
Цитата · Личное сообщение · #5

Hellspawn пишет:
хех, пропатчил твоим способом ольку, ничё хорошего терь возникает
event 00000000 и тест не проходит...


event 00000000 у меня тоже возникает, просто нажимаю F9 и тест проходит
если работает advancedolly то нужно отключить опцию invalid handle

Ранг: 160.3 (ветеран)
Статус: Участник

Создано: 10 января 2007 03:31 New!
Цитата · Личное сообщение · #6

WarrioR пишет:
Мой патч пробовал?

Ага пробовал три BSOD и с меня хватило.


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 10 января 2007 03:34 New!
Цитата · Личное сообщение · #7

может все-тки нада перечислить анти дебаг последней версии этого криптора...
у меня тож троублз с ним программа правда старенькая но как только запускаю Олю
она нахрен закрывается..
а если сначала Ольгу Дебаговну, а потом в нее прогу загружаю то Оля матерится.. и пишет try to change EIP вотс..


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 10 января 2007 03:35 · Поправил: lord_Phoenix New!
Цитата · Личное сообщение · #8

[url=http://www.wasm.ru/forum/viewtopic.php?pid=136879
]http://www.wasm.ru/forum/viewtopic.php?pid=136879
[/url]
Asterix пишет:
мне кажется все гораздо проще, ставим в игнор исключение 0xC0000008 средствами Olly
чтоб защититься от явных RaiseException
+ обрабатываем вызовы CloseHandle с несуществующим хэндлом,
мне кажется метод рабочий

тоесть инвалид_хендл в игнор..(лучше хукаем raiseexception).. + хукаем closehandle(вписываем свою проверку хендла).. от ехекриптора спасет точно

UPD: читаем в топе на васме предпоследний пост

Ранг: 52.6 (постоянный)
Статус: Участник

Создано: 10 января 2007 03:39 New!
Цитата · Личное сообщение · #9

Cigan пишет:
Ага пробовал три BSOD и с меня хватило.


С трудом верится, так как Olly работает с этими переменными точно также только из других мест.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 января 2007 03:41 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #10

overwriter пишет:
может все-тки нада перечислить анти дебаг последней версии этого криптора...


не видел пока посл. версию со всеми опциями... на проге которую я приводил в начале не все
опции! А вообще всё стандартно...

могу перечислить антиотладку в 2.2.6 т.к. она регенная)

з.ы. у кого нить мыло маркуса есть? надо перетереть пару вещей, а я никак не найду...


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 10 января 2007 03:51 New!
Цитата · Личное сообщение · #11

Перечисляй..! а то у меня редкий случай ламоразмотической ленности..
а лучше статью написать.. а-ля экзекриптыр версус олля дебаговна
и табличку там в ней:
Анти дебаг метод / Анти анти дебаг метод..
мне будет очень приятно


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 10 января 2007 03:57 New!
Цитата · Личное сообщение · #12

overwriter пишет:
Перечисляй..! а то у меня редкий случай ламоразмотической ленности..
а лучше статью написать.. а-ля экзекриптыр версус олля дебаговна
и табличку там в ней:
Анти дебаг метод / Анти анти дебаг метод..
мне будет очень приятно

китайцы писали нечто подобное.. самые крутые методы детекта - инвалид_хендл и открытие csrss.exe


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 января 2007 03:59 New!
Цитата · Личное сообщение · #13

lord_Phoenix пишет:
открытие csrss.exe


лечиться или перехватом OpenProcess или снятием дебаг привелегий)


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 10 января 2007 04:01 New!
Цитата · Личное сообщение · #14

Hellspawn
угу, но перехватом лучше =)
пс.зайди в аську


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 10 января 2007 04:02 New!
Цитата · Личное сообщение · #15

я китайский изучать начал.. но до чтения статей.. пока меня не хватает.. или она на английском.. ?
тада дайте ссылочку плз..


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 10 января 2007 04:08 New!
Цитата · Личное сообщение · #16

overwriter
на китайском


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 10 января 2007 04:12 New!
Цитата · Личное сообщение · #17

лечиться или перехватом OpenProcess или снятием дебаг привелегий)
а почему именно OpenProcess?
про снятие привелегий можно подробнее..
ногами не пинать! иду читать про сплайсинг


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 10 января 2007 04:15 New!
Цитата · Личное сообщение · #18

Кто-нибудь Anti 0lly Tester 1.0 http://arteam.accessroot.com/releases/file_info/download1.php?file=Anti0lly_Tester_10_by_Shub-Nigurrath.rar проходил? У меня валится:

Тогда как xADT_1.2 прохожу спокойно.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 января 2007 04:37 New!
Цитата · Личное сообщение · #19

всё, с инвалид хендл разобрались вмесле с Арчером, драйвер решаед

Gideon Vi пишет:
Gideon Vi


HideToolz используй... или пропатч экспорт...


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 10 января 2007 04:40 New!
Цитата · Личное сообщение · #20

Gideon Vi пишет:
Кто-нибудь Anti 0lly Tester 1.0 проходил? У меня валится:

запатчи экспорты ольки и _все_ плуги котоыре юзаешь.. это самый тупой метод =)


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 10 января 2007 04:44 New!
Цитата · Личное сообщение · #21

Тьфу, я тестовую ольгу гонял =) Всем спасибо, на основной экспорт давно забит.

Hellspawn пишет:
HideToolz используй...


Что характерно - не спас


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 10 января 2007 04:47 New!
Цитата · Личное сообщение · #22

Hellspawn пишет:
всё, с инвалид хендл разобрались вмесле с Арчером, драйвер решаед


Там драйвер, тут драйвер. Скоро придётся в туалет через нулевое кольцо ходить


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 10 января 2007 04:52 New!
Цитата · Личное сообщение · #23

Gideon Vi пишет:
Что характерно - не спас

Скрой csrss.exe, должно помочь.


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 10 января 2007 04:57 New!
Цитата · Личное сообщение · #24

Ms-Rem пишет:
Скрой csrss.exe, должно помочь.


Странно, но не помогло. Попробуй сам на чистой ольге - файл 9 кб весит.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 января 2007 04:58 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #25

EXECryptor 2.2.6 Registered
со всеми опциями...

1) палит бряк на EP (int 3)
2) юзает TLS
3) палит железные бряки
4) открывает (OpenProcess) все процессы и читает (ReadProcessMemory) их, ищед ольку по сигне)
5) пытается открыть csrss.exe (если удалось, нас попалили)
6) хуева туча потоков
7) FindWindowA (ищем окно олли)
8) EnumWindows
9) ну и куча исключений конечно...
10) палит обычные бряки
11) палит перехваты АПИ
12) палит бряки на АПИ


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 10 января 2007 05:16 · Поправил: Ms-Rem New!
Цитата · Личное сообщение · #26

Gideon Vi пишет:
Странно, но не помогло. Попробуй сам на чистой ольге - файл 9 кб весит

Запускаю скрытую олю, запускаю ExeCryptor последней версии с офф. сайта. Все работает, ничего не палит. Ну а если отлаживать ексекриптор олей, то он еще саму отладку палит, тут должны плуги помочь.

Или у тебя криптор палит просто запущеную под HideTools олю, даже когда его не отлаживают?


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 10 января 2007 05:25 New!
Цитата · Личное сообщение · #27

Ms-Rem, с криптором проблем нет. Я говорю про ту маленькую утилитку-тест, что выложил чить выше.


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 10 января 2007 05:27 New!
Цитата · Личное сообщение · #28

Hellspawn пишет:
1) палит бряк на EP (int 3)
2) юзает TLS
3) палит железные бряки
4) открывает (OpenProcess) все процессы и читает (ReadProcessMemory) их, ищед ольку по сигне)
5) пытается открыть csrss.exe (если удалось, нас попалили)
6) хуева туча потоков
7) FindWindowA (ищем окно олли)
8) EnumWindows
9) ну и куча исключений конечно...
10) палит обычные бряки
11) палит перехваты АПИ
12) палит бряки на АПИ

13) гавнобаги олкьи с:
o lock int3
o lock int1
o ds:int3
14) rdtsc

Ранг: 52.6 (постоянный)
Статус: Участник

Создано: 10 января 2007 06:55 New!
Цитата · Личное сообщение · #29

Gideon Vi пишет:
Кто-нибудь Anti 0lly Tester 1.0 проходил? У меня валится:

Тогда как xADT_1.2 прохожу спокойно


этот Anti 0lly Tester открывает процесс проводника, если ему помешать он говорит что ничо не нашел.


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 10 января 2007 06:58 New!
Цитата · Личное сообщение · #30

В следующей версии HideTools доступ родительского процесса к дочернему будет выключаться по старту его первого потока.


Ранг: 107.6 (ветеран)
Статус: Участник

Создано: 10 января 2007 14:29 New!
Цитата · Личное сообщение · #31

WarrioR пишет:
Всё вылечил я Olly.
Тут выкладывали 2 тестера, после патча моя Olly их проходит на ура.
Кому интересно вот патч

Меня побьют за такой вопрос ( ), но почему у меня в ольке не принимаются команды:

004AF689 CMP [DWORD 4D5720], C0000008 //invalid handle


004AF6BA MOV [DWORD 4D5720], C0000008 //подмена исключения


Unknown identifier пишет
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Протекторы —› Скрытие OllyDbg от EXECryptor

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS