eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: RevCred (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Скрытие OllyDbg от EXECryptor
<< . 1 . 2 . 3 . 4 . 5 .
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 8 января 2007 05:25 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #1

собственно сабж, в принпице спрятать ольгу не сложно, все методы известны...
Перечислять всю антиотладку в говнопроте нет смыла...
но вот скачал прогу FastSatfinder на ней один из последних EXECryptor
(скорее всего в защите выставлены не все галки) но есть новый трюк с "Invalid Handle"

теперь ближе к делу, под олькой эта прога падаед, никак не могу заставить
её работать. Под моим Easy Debugger всё ок) достаточно было сделать

case DE.Exception.ExceptionRecord.ExceptionCode of
EXCEPTION_INVALID_HANDLE : ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE);
EXCEPTION_BREAKPOINT : Form1.ExceptionBreakpoint(DE);
EXCEPTION_SINGLE_STEP : Form1.ExceptionSingleStep(DE);
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
end;


и всё как надо, я не могу понять почему, что-то олли не так обрабатывает...
просьба скачать прогу и попробовать запустить под любой сборкой олли (Snadow,OllIce и т.д.)!
поиграть плагинами, и если запуститься то отписаться какая сборка, плаги, ось
это очень важно...

тут прога:
2.28 mb
http://download-zone.org/10484 http://download-zone.org/10484


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 25 июля 2007 20:46 New!
Цитата · Личное сообщение · #2

Cigan у стара такая же фишка с потоком что он идет мимо олли
или научиться прибивать или перехватывать этот поток в длл
или скоро на всех современных протах эта фишка стоять будет
и тогда будет геморно

Ранг: 48.8 (посетитель)
Статус: Участник

Создано: 26 июля 2007 07:47 New!
Цитата · Личное сообщение · #3

GodFather, тебе геморно воткнуть бряк в ЕР дэлельки?


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 26 июля 2007 17:07 New!
Цитата · Личное сообщение · #4

Olenevod а если допустим там не одна длл а допустим до фига
это что я должен в каждую длл в EP бряк ставить?

Ранг: 48.8 (посетитель)
Статус: Участник

Создано: 26 июля 2007 22:24 New!
Цитата · Личное сообщение · #5

GodFather пишет:
я должен в каждую длл в EP бряк ставить?

А почему бы и нет, собственно? Тем более, что все длл тебе скорее всего нафиг не понадабятся.
З.Ы. топик называется Скрытие OllyDbg от EXECryptor, причем здесь звездосила?

Ранг: 162.4 (ветеран)
Статус: Участник

Создано: 27 июля 2007 12:27 New!
Цитата · Личное сообщение · #6

Блин ща на висту перешол И плагин его не скрывает (дебаг флаг)
Никто не разбирался (Какой из плагинов к оле работает (скрывает отладку))?


Ранг: 62.5 (постоянный)
Статус: Участник

Создано: 28 июля 2007 18:12 New!
Цитата · Личное сообщение · #7

SWR зря ты на висту перешел

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 28 июля 2007 18:20 New!
Цитата · Личное сообщение · #8

GodFather пишет:
если допустим там не одна длл а допустим до фига
это что я должен в каждую длл в EP бряк ставить?

Вообще то есть плагин для этого дела

GodFather пишет:
такая же фишка с потоком что он идет мимо олли

Что значит такая же ? и вообще о чем ты?


Ранг: 106.6 (ветеран)
Статус: Участник

Создано: 29 июля 2007 00:03 New!
Цитата · Личное сообщение · #9

SWR пишет:
Блин ща на висту перешол И плагин его не скрывает (дебаг флаг)
Никто не разбирался (Какой из плагинов к оле работает (скрывает отладку))?

под вистой непашет фантом от Hellspawn'a, так же не пашет Advanced Olly и из-за эдвенчера оля вылетает я немного искал плаги, которые скрывают Олю в висте, но пока так и не нашел


Ранг: 199.3 (ветеран)
Статус: Участник

Создано: 29 июля 2007 08:39 New!
Цитата · Личное сообщение · #10

SWR
VAD87
Сорри, но но вы, ребята, если конечно не задались разработкой методов и алгоритмов скрытия Оли под Вистой, просто приключения себе на задницу ищете. Если уж к Витсе такая пылкая любовь, то поставьте для реверсинга второй осью XP и все муки уйдут.

Чтобы не было оффтопа аттачу "свой" комплект, в котором патч для Оли + чуток правленный скрипт HAGGAR-а. Из плагов достаточно использовать только Фантом, все лишнее лучше вообще убрать. В настроках Экспешенов Оли поставить все галки и задать диапазон: 00000000..FFFFFFFF. У меня работает железно.

{ Атач доступен только для участников форума } - ExeCryptor_anti_debug.rar


Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 29 июля 2007 12:10 New!
Цитата · Личное сообщение · #11

YDS
Чтобы не компарить .bak с патченным, под ShadowOllyDbg можешь сделать?


Ранг: 106.6 (ветеран)
Статус: Участник

Создано: 29 июля 2007 12:20 New!
Цитата · Личное сообщение · #12

оффтоп:
YDS пишет:
SWR
VAD87
Сорри, но но вы, ребята, если конечно не задались разработкой методов и алгоритмов скрытия Оли под Вистой, просто приключения себе на задницу ищете. Если уж к Витсе такая пылкая любовь, то поставьте для реверсинга второй осью XP и все муки уйдут.

хех)))) Вообще основная ось у меня XP SP2 ;) а Виста, 2003 Server и прочие оси стоят просто для тестинга и для изучения ;))
А вообще фантом+Advanced Olly+Hide Toolz и оля точно нечем палится не будет ;)


Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 29 июля 2007 12:36 New!
Цитата · Личное сообщение · #13

VAD87 пишет:
А вообще фантом+Advanced Olly+Hide Toolz

Да всё палиться,даже с этой "дикой" связкой....))))
Попробуй RLPack сам увидишь,да и криптор тоже палит на некоторых сабжах.
Видно зависит от опций.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 29 июля 2007 12:44 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #14

Bronco пишет:
Да всё палиться,даже с этой "дикой" связкой....))))


нее)) это ты что то путаешь, у меня RLPack ничего не палит с одним фантомом...
я бы сказал зависит от Олли


Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 29 июля 2007 13:03 New!
Цитата · Личное сообщение · #15

Hellspawn пишет:
у меня RLPack ничего не палит

Типа тот "крякми" всё таки пригодился?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 29 июля 2007 13:32 New!
Цитата · Личное сообщение · #16

Bronco пишет:
Типа тот "крякми" всё таки пригодился?


дык там банально окошки были.. Скоро они у всех пойдут лесом, я почти дизасм закончил)
ща потестим с Арчи и прикрутим...


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 29 июля 2007 13:57 New!
Цитата · Личное сообщение · #17

Hellspawn пишет:
я бы сказал зависит от Олли


+1 Добавляем трик, убивающий олю и пионеры идут по грибы )


Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 29 июля 2007 14:19 New!
Цитата · Личное сообщение · #18

Hellspawn пишет:
Скоро они у всех пойдут лесом

Пора в общак скидываться на презент вам обоим с Арчером.
Сообщество!!!
Как считаете,правильно?
Ну и сразу,по сколько,и куда?


Ранг: 1964.9 (!!!!)
Статус: Модератор
retired

Создано: 29 июля 2007 15:01 · Поправил: Archer New!
Цитата · Личное сообщение · #19

Bronco
Ещё рано, вот будет релиз с окошками всеми патчеными и с багами запатчеными для пущей совместимости с другими драйверами (уже почти готово), тогда оцените. ;)

Ранг: 8.7 (гость)
Статус: Участник

Создано: 2 августа 2007 12:46 New!
Цитата · Личное сообщение · #20

Вот файл от одного скринсейвера укрытый ExeCryptor-ом, который детектит OllyShadow + PhantOm 0.60 + OllyAdvanced 1.26b12 даже если скринсейвер запустить в sandboxie, а olly потом, вне сандбокса. Не детектит только с HideToolz.

mihd.net/pnj0gl

Только как скринсейвер не запустится, так как рипнутый. Запускать в режиме Configure.

Ранг: 6.0 (гость)
Статус: Участник

Создано: 8 октября 2015 13:17 New!
Цитата · Личное сообщение · #21

Hellspawn, твой плагин защищает ведь хард бряки от обнаружения execryptor ?
Ставлю хард бряк на ReadProcessMemory чтобы поймать прот на чтение запущенных процессов. Но отладчик не отстонавливается на этом бряке, но отдельно запущенный отладчик видит и закрывает его, когда патчю эту функцию, чтобы она eax=0 возвращала, то ничего не закрывает. Так что он 100% использует эту функцию.

Поэтому вопрос почему не удается остановиться там ?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 8 октября 2015 15:36 New!
Цитата · Личное сообщение · #22

mazaxak я не помню, что там с EXECryptor'ом уже попробуй обычный бряк поставить куда-нибудьт в конец функции.
<< . 1 . 2 . 3 . 4 . 5 .
 eXeL@B —› Протекторы —› Скрытие OllyDbg от EXECryptor

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS