eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: hlop (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Скрытие OllyDbg от EXECryptor
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 8 января 2007 05:25 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #1

собственно сабж, в принпице спрятать ольгу не сложно, все методы известны...
Перечислять всю антиотладку в говнопроте нет смыла...
но вот скачал прогу FastSatfinder на ней один из последних EXECryptor
(скорее всего в защите выставлены не все галки) но есть новый трюк с "Invalid Handle"

теперь ближе к делу, под олькой эта прога падаед, никак не могу заставить
её работать. Под моим Easy Debugger всё ок) достаточно было сделать

case DE.Exception.ExceptionRecord.ExceptionCode of
EXCEPTION_INVALID_HANDLE : ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE);
EXCEPTION_BREAKPOINT : Form1.ExceptionBreakpoint(DE);
EXCEPTION_SINGLE_STEP : Form1.ExceptionSingleStep(DE);
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
end;


и всё как надо, я не могу понять почему, что-то олли не так обрабатывает...
просьба скачать прогу и попробовать запустить под любой сборкой олли (Snadow,OllIce и т.д.)!
поиграть плагинами, и если запуститься то отписаться какая сборка, плаги, ось
это очень важно...

тут прога:
2.28 mb
http://download-zone.org/10484 http://download-zone.org/10484

Ранг: 56.3 (постоянный)
Статус: Участник

Создано: 10 января 2007 19:50 New!
Цитата · Личное сообщение · #2

Gambit пишет:
Меня побьют за такой вопрос ( ), но почему у меня в ольке не принимаются команды:


cmp dword ptr[4D5720]


Ранг: 500.6 (!)
Статус: Участник

Создано: 10 января 2007 20:14 New!
Цитата · Личное сообщение · #3

Gambit пишет:
Меня побьют за такой вопрос ( ), но почему у меня в ольке не принимаются команды:

004AF689 CMP [DWORD 4D5720], C0000008 //invalid handle

004AF6BA MOV [DWORD 4D5720], C0000008 //подмена исключения


Нужно так:

004AF689 CMP DWORD [4D5720],0C0000008
004AF6BA MOV DWORD [4D5720],0C0000008


Ранг: 107.6 (ветеран)
Статус: Участник

Создано: 10 января 2007 21:55 New!
Цитата · Личное сообщение · #4

NIKOLA!
Спсиб, большое! Работает

ЗЫ: и WarrioR'у спасибо естессно (за патч)


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 11 января 2007 08:31 New!
Цитата · Личное сообщение · #5

2Hellspawn
>лечиться или перехватом OpenProcess или снятием дебаг привелегий)

Почему? Именно OpenProcess?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 января 2007 08:41 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #6

overwriter пишет:
Почему? Именно OpenProcess?


потому что гладиолусы!
фтыйкай!

hччp://www.piotrbania.com/all/articles/antid.txt

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 11 февраля 2007 02:05 New!
Цитата · Личное сообщение · #7

Пытаюсь запустить одну прогу с Экзекриптором под Olly.
Экзекриптор явно не старый. (хотя peid определяет как 2.2.4)
Если запуcтить Olly и запустить прогу не в Olly- все нормально. Прога запускается.
Если запустить Olly. Выставить в ней игног всех исключений с Range=0..FFFFFFFF и "System Breakpoint"
Открыть в ней прогу. Убить бряк, поставленный олей на EP и нажать Shift+F9 (при этом ни одного бряка не установлено), то возникает сообщение Debugger detected и прога закрывается вместе с Olly.
Что сделано с Olly:
применен AntiDetectOlly 2.2.4
используется Hide Debugger v1.2.4
используется Phantom Plugin 0.53 со всеми галками, кроме fakeWindows version
используется OllyAdvanced Plugin (пробовался с установками про который писали на 1 странице этой ветки)
пробовал HideTools (делал Hide для csrss и для Olly)
пробовал патч от WarrioR
Все это не помогает.
Подскажите, что еще можно попробовать
Операционка: XP без сервиспаков
Что еще замечено: прога прибивает DBGview


Ранг: 116.7 (ветеран)
Статус: Участник

Создано: 11 февраля 2007 02:15 New!
Цитата · Личное сообщение · #8

Может помочь тебе OllyDbg Execryptor edition и скрипт Bypass AntiDBG OEP...Часто выручает. Попробуй. Экзекриптор эдишин ты легко найдёшь, а скрипт на всякий случай сюда приаттачу.

{ Атач доступен только для участников форума } - Bypass AntiDBG OEP.txt


Ранг: 1964.3 (!!!!)
Статус: Модератор
retired

Создано: 11 февраля 2007 03:04 New!
Цитата · Личное сообщение · #9

AlexVel
Одного Phant0m Plugin, насколько я знаю, поставив все галки (кроме версии винды), достаточно, чтоб обойти Экзекриптор. А вот на OllyAdvanced налегать не стоит, он перенаправляет некоторые функции, а это палит какой-то прот (вроде, как раз Экзекриптор). Ну и проверь, чтоб не было никаких бряков (ни HW, ни программных, включая бряк на EP). А вообще скоро будет новая версия Phant0m с модным rdtsc.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 февраля 2007 03:05 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #10

AlexVel выложи прогу... я догадываюсь в чём проблема

AlexVel пишет:
прога прибивает DBGview


да и не только это))) ещё много чего...

Mifodix пишет:
OllyDbg Execryptor edition


да что вы все к этой версии привязались? в ней нету ничего особенного...

Archer пишет:
новая версия Phant0m с модным rdtsc.


и не только

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 февраля 2007 03:26 New!
Цитата · Личное сообщение · #11

Hellspawn пишет:
и не только

Ну заинтриговали ! Ждем!

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 11 февраля 2007 03:53 · Поправил: AlexVel New!
Цитата · Личное сообщение · #12

OllyDbg Execryptor edition - не помог. Все то же. Debugger Detected
На OllyAdvanced не налегал. Пробовал и с ним и без него.
>Одного Phant0m Plugin, насколько я знаю, поставив все галки (кроме версии винды), достаточно, чтоб обойти Экзекриптор.
Похоже что все-таки не достаточно.
>Ну и проверь, чтоб не было никаких бряков (ни HW, ни программных, включая бряк на EP)
ТОчно никаких бряков нет. Бряк на EP собственноручно убиваю
Попробую собрать миним. комплектик для запуска проги.
Предположительно мега 4 в архиве выйдет.
Импорт скриптом от PE_Kill-а нормально восстанавливается.
Прога на Delphi 2006 - вызов GetModuleHandleA в первом калле - определен.
Начало спертых байт до первого калла тоже восстановил, но вот дальше...
Смотрел тутор по happyharvester2u - так в моей проге по другому.
Когда ставлю бряк (memory access) на секцию CODE, то всплываю не на начале нормальной функции,
а на jmp который прыгает в одну из секций криптора, в которой, как я понял, содержатся несколько фунок проги в обфусканом состоянии.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 февраля 2007 03:55 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #13

"экстрасенсы в отпуске (c)"

прогу суда, возможно новый криптор...

з.ы. линк - dl1.rapidshare.ru/172136/79230/GR.RAR

Ранг: 120.2 (ветеран)
Статус: Участник

Создано: 11 февраля 2007 05:44 New!
Цитата · Личное сообщение · #14

У меня нормально запускается, olly shadow и 4 плагина phantom, command line, odbgscript, bookmarks


Ранг: 116.7 (ветеран)
Статус: Участник

Создано: 11 февраля 2007 05:53 New!
Цитата · Личное сообщение · #15

Переложите куда-нибудь пожалуйста, у меня чё-то не качается с dl1.rapidshare.ru/172136/79230/GR.RAR

Ранг: -14.0 (нарушитель)
Статус: Участник

Создано: 11 февраля 2007 05:55 New!
Цитата · Личное сообщение · #16

AlexVel пишет:
OllyDbg Execryptor edition
Это та же оля после старого патча - AntiDetectOlly 2.2.4 Как известно
он и его стал палить .И был сделан патч AntiDetectOlly 2.2.4 + плюс который это дело фиксил.
Но в инструменты он не попал видимо по неизвестным причинам.

Ранг: -14.0 (нарушитель)
Статус: Участник

Создано: 11 февраля 2007 05:55 New!
Цитата · Личное сообщение · #17

AlexVel пишет:
OllyDbg Execryptor edition
Это та же оля после старого патча - AntiDetectOlly 2.2.4 Как известно
он и его стал палить .И был сделан патч AntiDetectOlly 2.2.4 + плюс который это дело фиксил.
Но в инструменты он не попал видимо по неизвестным причинам.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 февраля 2007 06:04 New!
Цитата · Личное сообщение · #18

AlexVel пишет:
Когда ставлю бряк (memory access) на секцию CODE, то всплываю не на начале нормальной функции,
а на jmp который прыгает в одну из секций криптора, в которой, как я понял, содержатся несколько фунок проги в обфусканом состоянии.

Ты скорее всего ставишь бряк до инициализации дельфи и попадешь в криптор где как правило пара тройка проверок !
Или пытаешься восстановит не дельфийный стаб я а что то другое?

Ранг: 120.2 (ветеран)
Статус: Участник

Создано: 11 февраля 2007 06:11 New!
Цитата · Личное сообщение · #19

Mifodix

slil.ru/23911373


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 февраля 2007 06:55 New!
Цитата · Личное сообщение · #20

cadet пишет:
lly shadow и 4 плагина phantom


т.е. плаг норм отрабатывает? мне можно не капать прожку?
тогда займусь новой версией...

Ранг: 120.2 (ветеран)
Статус: Участник

Создано: 11 февраля 2007 06:58 New!
Цитата · Личное сообщение · #21

Hellspawn

Работает железно.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 февраля 2007 07:46 New!
Цитата · Личное сообщение · #22

Hellspawn
сильно не расслабляйся
MIDItoMP3 палит палит чистую ольку с фантомом и закрывает ;) OllyDbg Execryptor отлаживает !
Киптор навешан также как в Uninstall Tool ;)


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 февраля 2007 07:49 New!
Цитата · Личное сообщение · #23

pavka пишет:
MIDItoMP3 палит палит чистую ольку с фантомом и закрывает ;)


класс окна и т.д. надо полюбому патченную сборку юзать...
в принципе можно поиск похучить, но имхо это лишнее

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 февраля 2007 07:57 New!
Цитата · Личное сообщение · #24

Hellspawn
Не клас окна не причем я у убирал а и т.д лениво было рыть дальше проще было другую ольку запустить

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 11 февраля 2007 08:41 New!
Цитата · Личное сообщение · #25

попробовал ollyshadow только с одним плагом phantom 0.53
попробовал обычную olly обработанную AntiDetectOlly_v2.2.4 только с одним плагом phantom 0.53
Никаких бряков не устанавливал. Бряк на EP снимал
Везде результат одинаков - появляется окно:
---------------------------
Ошибка
---------------------------
Debugger detected [215926505-]
---------------------------
ОК
---------------------------


Ранг: 116.7 (ветеран)
Статус: Участник

Создано: 11 февраля 2007 08:45 New!
Цитата · Личное сообщение · #26

cadet пишет:
Работает железно.

Не воркает у меня. Прога терминатица

Ранг: 120.2 (ветеран)
Статус: Участник

Создано: 11 февраля 2007 08:53 · Поправил: cadet New!
Цитата · Личное сообщение · #27

AlexVel
Mifodix

Я запускаю прожку шифт+ф9, а так незнаю вроде все так, что и сказать незнаю

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 11 февраля 2007 09:23 · Поправил: AlexVel New!
Цитата · Личное сообщение · #28

cadet пишет:
Я запускаю прожку шифт+ф9

И что у тебя появляется? Сообщение о том, что ключ не найден или что ?

PS:Есть еще подозрение, что там есть что-то вроде порога rdtsc
У меня слабенький Duron900 и под отладчиком соответственно время выполнения некоторого участка
кода может быть больше порога, тогда как у тебя (возможно) на более шустром компе до этого порога не доходит. Все вышесказанное просто предположение.

Ранг: 120.2 (ветеран)
Статус: Участник

Создано: 11 февраля 2007 09:32 · Поправил: cadet New!
Цитата · Личное сообщение · #29

Да. Попробуй поставить access бряк на 407514, делай шифт+ф9 до команды lods и еще раз нажми, когда остановишься убери лишние потоки. Может пройдет. Иногда помогает такой фокус, открываешь олю открываешь плагин фонтом делаешь save, перезапускаешь олю. А у меня слету проходит и незнаю как помочь. Если проц влияет то у меня CORE DUO E6600

Сейчас попробовал на лоптопе интел 1600, все окей.

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 11 февраля 2007 10:09 · Поправил: AlexVel New!
Цитата · Личное сообщение · #30

cadet пишет:
Попробуй поставить access бряк на 407514, делай шифт+ф9 до команды lods и еще раз нажми, когда остановишься убери лишние потоки. Может пройдет. Иногда помогает такой фокус, открываешь олю открываешь плагин фонтом делаешь save, перезапускаешь олю.

Поставил access бряк на 407514. шифт+ф9 (4 раза). Дошел до 407514. Стоя прямо на нем открываю окно тридов. Там 2 трида. Удаляю тот, который не основной. Удаляю бряк на 407514.Нажимаю шифт+ф9
довольно большая пауза (секунд 8) - при этом в статусной строке мелькают эксепшены и INT 3
Потом возникает модальное окно с ошибкой: Debugger detected.
Фокус с фантомом тоже пробовал - не помогает.

Если есть возможность, то запакуй свою сборку Olly и выложи на какой-нибудь обменник (кроме slil.ru)
(ссылку можно в личку) Я утяну и проверю.

Ранг: 120.2 (ветеран)
Статус: Участник

Создано: 11 февраля 2007 10:17 · Поправил: cadet New!
Цитата · Личное сообщение · #31

AlexVel

Мыслей пока нет, единственное выкладываю свою олю с udd. Попробуй у меня на двух компах идет.

http://slil.ru/23912686 http://slil.ru/23912686

блин на на какой?
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Протекторы —› Скрытие OllyDbg от EXECryptor

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS