eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Скрытие OllyDbg от EXECryptor
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 8 января 2007 05:25 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #1

собственно сабж, в принпице спрятать ольгу не сложно, все методы известны...
Перечислять всю антиотладку в говнопроте нет смыла...
но вот скачал прогу FastSatfinder на ней один из последних EXECryptor
(скорее всего в защите выставлены не все галки) но есть новый трюк с "Invalid Handle"

теперь ближе к делу, под олькой эта прога падаед, никак не могу заставить
её работать. Под моим Easy Debugger всё ок) достаточно было сделать

case DE.Exception.ExceptionRecord.ExceptionCode of
EXCEPTION_INVALID_HANDLE : ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE);
EXCEPTION_BREAKPOINT : Form1.ExceptionBreakpoint(DE);
EXCEPTION_SINGLE_STEP : Form1.ExceptionSingleStep(DE);
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
end;


и всё как надо, я не могу понять почему, что-то олли не так обрабатывает...
просьба скачать прогу и попробовать запустить под любой сборкой олли (Snadow,OllIce и т.д.)!
поиграть плагинами, и если запуститься то отписаться какая сборка, плаги, ось
это очень важно...

тут прога:
2.28 mb
http://download-zone.org/10484 http://download-zone.org/10484

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 11 февраля 2007 10:20 New!
Цитата · Личное сообщение · #2

cadet
Можешь выложить на другой обменник? (webfile.ru / rapidshare.ru/ com/ de)
У меня пров со slil.ru вообще не дружит

Ранг: 120.2 (ветеран)
Статус: Участник

Создано: 11 февраля 2007 10:25 · Поправил: cadet New!
Цитата · Личное сообщение · #3

AlexVel

Попробуй ссылку поправил webfile.ru/1313425

Ранг: 200.3 (наставник)
Статус: Участник

Создано: 11 февраля 2007 10:28 New!
Цитата · Личное сообщение · #4

Кому со slil.ru надо скачать, заходите сюда ifolder.ru/, регистрируетесь, жмёте - загрузить с удалённого сервера и ждёте, когда загрузится - вам на ящик письмо придёт.

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 11 февраля 2007 10:35 · Поправил: AlexVel New!
Цитата · Личное сообщение · #5

cadet
Спасибо.
Скачал твою cсборку Olly. Исправил пути в INI
Запустил Shadow. Открыл фантом. Снял и заново установил все галки. Нажал сейв. Закрыл Shadow.
Снова открыл shadow. Убедился что в настройках стоит Make first pause at: System Breakpoint
Открыл прогу. Убил в окне брекоинтов бряк на EP. Нажал Shift+F9
Секунд через 15 получил окно Debugger detected


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 февраля 2007 11:18 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #6

так поглядел я прожку, у меня запускается 50 на 50... сто пудов из за слабого компа, т.к.
криптор сыплет кучей исключений и ольга иногда не правильно их обрабатывает (о чём я говорил)

что заметил из нового..
пните меня если не так, криптов в цикле = 60h раз вызывает GetTickCount хз зачем ему это, может для удовлетворения? походу обнаружение идёт из за этого... надо поглядеть что он там хочет, но с его
жутким кодом это проблематично... У меня без ольки то прога секунд 15 запускается))))

Ранг: 120.2 (ветеран)
Статус: Участник

Создано: 12 февраля 2007 12:05 New!
Цитата · Личное сообщение · #7

Hellspawn

Нет, от процессора это не зависит. Сегодня попробовал. Таже фигня началась 50/50 запускается. Что случилось? Незнаю.

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 12 февраля 2007 22:28 New!
Цитата · Личное сообщение · #8

На рабочем компе Celeron 2000 прога также запускается 50/50
найти спертые байты после инициализации (вызова первого call-a с GetModuleHandleA) пока
не получается. Антиотладку заинлайнить тоже не получается


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 18 июля 2007 21:15 New!
Цитата · Личное сообщение · #9

Hellspawn погляди вот это про GetTickCount
может это поможетwww.wasm.ru/article.php?article=wayround <--


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 18 июля 2007 21:37 New!
Цитата · Личное сообщение · #10

да чуть не забыл как насчёт стар форса версии скажем 4.50
как его в олли запустить подскажите ламеру
там он просто нашпигован антиотладкой


Ранг: 1964.9 (!!!!)
Статус: Модератор
retired

Создано: 19 июля 2007 08:02 New!
Цитата · Личное сообщение · #11

GodFather
Для старфорса надо переводить отладчик на другие прерывания, писали уже об этом. Пиши свой драйвер, переводи айс. На паблике готовых решений для этого я не видел.


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 20 июля 2007 20:01 New!
Цитата · Личное сообщение · #12

а почему тогда стар при загрузке в отладчик сам себя на свет божий вытаскивает в обход отладчика что он хучит даже когда его дрова не установлены?
можете объяснить чтоб я также как они со своими скажем прогами смог сделать чтоб не отлаживали
если есть матерьялы отошлите меня к ним; просто я всерьез заинтересовался этой защитой


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 21 июля 2007 02:25 New!
Цитата · Личное сообщение · #13

GodFather пишет:
даже когда его дрова не установлены?


ну, вообще-то он не запустится без установленных дров...

GodFather пишет:
можете объяснить чтоб я также как они со своими скажем прогами смог сделать чтоб не отлаживали


нет, не можем

GodFather пишет:
просто я всерьез заинтересовался этой защитой


купи её.


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 21 июля 2007 21:19 New!
Цитата · Личное сообщение · #14

ну, вообще-то он не запустится без установленных дров...
Gideon Vi При загрузке в дебаггер без установленных дров стар все равно не останавливается на
one-shot бряке, никогда ничего подобного нигде не видел
ВЫ ВООБЩЕ МОЖЕТЕ ОБЪЯСНИТЬ ПОЧЕМУ ТАК ПРОИСХОДИТ???
у кого мне еще спросить у разработчиков стара да?
так прям они мне и ответят

купи её.
я бедный студент делать мне больше нечего чем как стар покупать
вчера успешно образину с игрухи старфорса DVD версии 4.50 снял (другу спасибо дал)
до этого образ с третьим старом юзал
одно хорошо дисковод из привода вырубать не надо по сравнению с третьим старом
за что разработчикам стар форс
РЕСПЕКТ!

я просто прошу объяснения вот и всё


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 22 июля 2007 04:18 New!
Цитата · Личное сообщение · #15

GodFather пишет:
никогда ничего подобного нигде не видел


я тоже. какая игра, ставились ли обновления?

GodFather пишет:
я бедный студент делать мне больше нечего чем как стар покупать


ты хотя бы представляешь себе, сколько человеко-часов ушло у конторы, чтобы создать защиту такого уровня? как бедный студент водиночку собирается замутить такой прот и параллельно писать ещё какие-то утилиты, чтобы их накрывать? и зачем их защищать, если не продавать? А если продавать, то будут деньги и на старика. Логическая ловушка, да


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 23 июля 2007 21:04 New!
Цитата · Личное сообщение · #16

какой-то косяк в том что стар инициализирует как-то криво свой длл
вот например игруха THEIOFTHEDRAGON.EXE стар вроде 3й версии
00965000: 689CDC323A PUSH 3A32DC9C
00965005: FF2584519600 JMP [00965184] (прыжок на свой dll)
а вот игруха от 1С Blood Magic Smoke and Mirrors BloodMagic.exe версия стара 4.50
01E3D000: 6870A4A4AB PUSH ABA4A470
01E3D005: FF2518D2E301 JMP [01E3D218](опять же прыжок на свой dll)
кстати при загрузке protect.dll в stud_PE.exe происходит экзепшин
решил я взять асм (MASM) и в свою прогу вписать
PUSH 3A32DC9C
прога моя некудышная но сразу начались приколы при её загрузке в OLLY ,
я её грузил стандартно не через фишку :"Make first pause at: System breakpoint"
олли не останавливается на one-shot бряке и летит до подрыва на исключении
похоже мы слишком мало знаем о той оси которую юзаем
даю вам пример с сырцом чтоб может хоть кто-то разобрался что происходит




{ Атач доступен только для участников форума } - отправить.zip


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 23 июля 2007 21:10 New!
Цитата · Личное сообщение · #17

у мну ничё не происходит) олька останавливается на ЕР


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 23 июля 2007 21:13 New!
Цитата · Личное сообщение · #18

Hellspawn ep это у тебя так да
00401000 > 68 9CDC323A PUSH 3A32DC9C
00401005 90 NOP
00401006 90 NOP
00401007 90 NOP
00401008 66:50 PUSH AX
0040100A 66:5B POP BX
0040100C 66:51 PUSH CX
0040100E 66:5A POP DX
00401010 6A 00 PUSH 0
а у меня на этой хрени ни останавливается


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 23 июля 2007 21:14 New!
Цитата · Личное сообщение · #19

у меня останавливается здесь
0040109A 8D45 D0 LEA EAX,DWORD PTR SS:[EBP-30]



Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 23 июля 2007 21:23 New!
Цитата · Личное сообщение · #20

проверьте может у кого также как и у меня?


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 24 июля 2007 21:17 New!
Цитата · Личное сообщение · #21

это снова я и для вас на этот раз приготовил штуку
грузите её (exe или dll) в олли не через Make first pause at: System breakpoint
и плагины к IsDebugPresent вырубите для пущего эффекта
также делает и стар форс когда грузится в олли
Гениально и просто
КАК ЭТО ОБОЙТИ???
(этот прикол)

{ Атач доступен только для участников форума } - loaddll.rar


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 25 июля 2007 08:15 New!
Цитата · Личное сообщение · #22

Выложите кто-нить уже настроенную, пропатченную и т.п. ольку с нужными плугами, которая железно дебажит ехекриптор. Ссылки cadet'а дохлые обе.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 25 июля 2007 09:50 New!
Цитата · Личное сообщение · #23

имхо какие-то версии криптора всё равно будут палить, из-за косяков в самой ольге
желательно убивать/замораживать поток с антиотладкой... В принципе бери любую более-менее
пропатченную и пару плагов (мой и адвансед) в принципе должно хватить...

Ранг: 160.3 (ветеран)
Статус: Участник

Создано: 25 июля 2007 10:23 New!
Цитата · Личное сообщение · #24

GodFather пишет:
это снова я и для вас на этот раз приготовил штуку
грузите её (exe или dll) в олли не через Make first pause at: System breakpoint
и плагины к IsDebugPresent вырубите для пущего эффекта
также делает и стар форс когда грузится в олли
Гениально и просто
КАК ЭТО ОБОЙТИ???
(этот прикол)


В общем то в чем прикол то? Стар не так работает.


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 25 июля 2007 10:31 New!
Цитата · Личное сообщение · #25

Hellspawn - угу, разобрался вроде =)


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 25 июля 2007 11:29 New!
Цитата · Личное сообщение · #26

Hellspawn
а зачем advanced в придачу к phantom?
как дополнение?
у меня какая -то сборка от hachno+phantom последний - и никакой криптор не палит


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 25 июля 2007 11:53 New!
Цитата · Личное сообщение · #27

r99 - ну выложи сборочку на всякий пожарный


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 25 июля 2007 11:54 New!
Цитата · Личное сообщение · #28

r99 пишет:
как дополнение?


он там некоторые баги правит))) пусть будет


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 25 июля 2007 12:03 New!
Цитата · Личное сообщение · #29

Ara
не выложу - так как смысла нет - запалите ее.
а во 2-х я не запускаю крипторных прог из OLLy

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 25 июля 2007 12:05 New!
Цитата · Личное сообщение · #30

Hellspawn пишет:
желательно убивать/замораживать поток с антиотладкой...

Если для распаковки можно смело прибивать CreateThread до ep


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 25 июля 2007 16:24 New!
Цитата · Личное сообщение · #31

r99 пишет:
а зачем advanced в придачу к phantom?


Там кроме вкладок Anti-Debug есть ещё три - загляни как-нибудь, не мало интересного увидишь

Ara пишет:
Выложите кто-нить уже настроенную, пропатченную и т.п. ольку с нужными плугами, которая железно дебажит ехекриптор.


дык, в общем-то оригинал с адванседом (отключенные опции хайда) и фантомом (задействованные опции хайда) - вот и всё, что нужно
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Протекторы —› Скрытие OllyDbg от EXECryptor

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS