eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 мая!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: rmn (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› OllyDBG v1.10 plugin - StrongOD v0.18 [2008.09.18]
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 сентября 2008 06:24 New!
Цитата · Личное сообщение · #1

Китайцы обновили плуг
bbs.cracktool.com/viewthread.php?tid=28854&extra=page%3D1
OllyDBG v1.10 plugin - StrongOD v0.18 [2008.09.18]
OllyDBG v1.10 plugin - StrongOD v0.18
Temptress Moon Shadow by sea [CUG]
================================================== ==================
[2008.09.18 v0.18]
1, to repair the Ctrl + G calculation rva, offset when a small BUG
2, when the program is not running the state, Detach before running program
3, restoration of the original data OD zone copy BUG
4, repair od after the CPU running very high occupancy rate BUG
5, you can set it to skip some of the exception handling

[2008.09.02 v0.17]
1, to skip some of the improper handling of the abnormal OD
2, correctly handle the instructions int 2d

[2008.08.31 v0.16]
1, joined the drive to protect the process, the hidden window, over most of the anti-debugging
2, driver support for the custom equipment 000 (ollydbg.ini of DeviceName, equipment were not more than 8 characters)
ollydbg.ini of [StrongOD], you can set up their own
HideWindow = 1 to hide the window
HideProcess = 1 to hide the process
ProtectProcess = 1 protection process
DriverKey =- 82693034 and the key driver of communication
DriverName = fengyue0 who drives (not more than 8 characters)

3, OD will be the creation of the parent process into the process explorer.exe (copied from shoooo code)

////////////////////////////////////////////////// ///////////

The increase in the version of the driver, if a blue screen, set up minidump spread to the Forum, thank you
OllyDbg original use as much as possible, and other generally do not need the anti-anti plugin in conjunction with plug-in (including phant0m)

[Note of the final film Temptress Moon by the sea in the editing 2008-9-19 20:52]

House accounts, anti shell had the option to use the skills and

The following are no special note are the original OD add a plug-in plug-in StrongOD operate



Ollydbg.ini in the first [Plugin StrongOD] the following HideWindow, ProtectProcess into the value of 1, the value of KernelMode turned into a preserve



1, Themida / WinLicense

Plug-in option to set a minimum
Original run OD, included in the main program Themida v1.9.9.0, stopped at the entrance after the removal of all breakpoints, Shift + F9 up-and-run
2, ExeCryptor v2.4.1
Plug-in option to set a minimum
Original run OD, set up break point on break point in the system to stop
ExeCryptor v2.4.1 included in the main program, stopped at the breakpoint system, according to Alt + B, remove the breakpoint EP
And then Shift + F9, you can
3, TTProtect v1.05 DEMO
Plug-in option to set a minimum
Original run OD, loading TTProtect v1.05 DEMO main program, Shift + F9
4, VMProtect v1.65.2
vmp v1.65 added to the xp system under the OD of the new anti
Plug-in option to set a minimum
Original run OD, loading VMProtect v1.65.2 main program, Shift + F9


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 20 сентября 2008 07:31 New!
Цитата · Личное сообщение · #2

pavka
Залей на рапиду плиз


Ранг: 240.2 (наставник)
Статус: Участник

Создано: 20 сентября 2008 09:18 New!
Цитата · Личное сообщение · #3

Сам плуг
Чтоб не читать иероглифы)

{ Атач доступен только для участников форума } - StrongOD v0.18.rar


Ранг: 199.3 (ветеран)
Статус: Участник

Создано: 20 сентября 2008 09:41 New!
Цитата · Личное сообщение · #4

pavka пишет:
4, VMProtect v1.65.2
vmp v1.65 added to the xp system under the OD of the new anti

Сам прот под ним может и запускается, однако антиотладку прог им покрытых фиксит не полностью.

Ранг: 122.5 (ветеран)
Статус: Участник

Создано: 20 сентября 2008 09:55 · Поправил: Ultras New!
Цитата · Личное сообщение · #5

YDS, у меня такая же фигня.


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 20 сентября 2008 10:16 New!
Цитата · Личное сообщение · #6

Под DeFixed сборку получилось у кого-нибудь заточить?
Я исправил OLLYDBG.exe на DeFixed.exe и _ODBG_ на _FFOF_, но не помогло. или еще что-то есть?


Ранг: 133.2 (ветеран)
Статус: Участник
bbs.pediy.com

Создано: 20 сентября 2008 11:21 New!
Цитата · Личное сообщение · #7

pavka

Thank you very much for the first time, but sometimes you have to provide the information can not be done.


Ранг: 133.2 (ветеран)
Статус: Участник
bbs.pediy.com

Создано: 20 сентября 2008 12:14 New!
Цитата · Личное сообщение · #8

Everyone's ability is limited,

Hai Feng Yue Ying Moderator

The increase in the version of the driver, if a blue screen, set up minidump spread to the Forum, thank you
OllyDbg original use as much as possible, and other generally do not need the anti-anti plugin in conjunction with plug-in (including phant0m)


Ранг: 534.6 (!)
Статус: Uploader
retired

Создано: 20 сентября 2008 13:51 New!
Цитата · Личное сообщение · #9

Spirit пишет:
Под DeFixed сборку получилось у кого-нибудь заточить?

У меня получилось, без всяких проблем.


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 20 сентября 2008 13:56 New!
Цитата · Личное сообщение · #10

borov
нуконуко, дайте заценить


Ранг: 641.2 (!)
Статус: Участник
CyberMonk

Создано: 20 сентября 2008 14:00 New!
Цитата · Личное сообщение · #11

borov =) какие вообще особености заточки под Дефиксед версию оли ??? Имеется ввиду плагины любые


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 20 сентября 2008 14:04 New!
Цитата · Личное сообщение · #12

mak пишет:
какие вообще особености заточки под Дефиксед версию оли ???

Spirit пишет:
OLLYDBG.exe на DeFixed.exe и _ODBG_ на _FFOF_


Ранг: 1107.3 (!!!!)
Статус: Участник

Создано: 20 сентября 2008 15:30 New!
Цитата · Личное сообщение · #13

разве сабжа чем-то лучше фантома?


Ранг: 199.3 (ветеран)
Статус: Участник

Создано: 20 сентября 2008 16:02 New!
Цитата · Личное сообщение · #14

Gideon Vi пишет:
разве сабжа чем-то лучше фантома?

ничем


Ранг: 534.6 (!)
Статус: Uploader
retired

Создано: 21 сентября 2008 00:58 New!
Цитата · Личное сообщение · #15

Spirit пишет:
borov
нуконуко, дайте заценить

да пожалуста нам не жалко

mak пишет:
borov =) какие вообще особености заточки под Дефиксед версию оли ??? Имеется ввиду плагины любые

как бы да

{ Атач доступен только для участников форума } - StrongOD.rar

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 21 сентября 2008 06:26 New!
Цитата · Личное сообщение · #16

Gideon Vi пишет:
разве сабжа чем-то лучше фантома?

лучше, хуже это то причем тут? Фантом, если я правильно понял развиваться дальше не будет , китайцы предлагают альтернативу кто хочет смотрит


Ранг: 527.0 (!)
Статус: Участник
оптимист

Создано: 21 сентября 2008 07:37 · Поправил: ClockMan New!
Цитата · Личное сообщение · #17

pavka пишет:Фантом, если я правильно понял развиваться дальше не будет..
Если я правильно понял то Hellspawn тестировал новую версию фантома.


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 21 сентября 2008 07:38 New!
Цитата · Личное сообщение · #18

borov
ы. Вот я протупил... напесал _FFOF_, всместо _FOFF_
Спасибо большое.


Ранг: 1107.3 (!!!!)
Статус: Участник

Создано: 21 сентября 2008 08:01 New!
Цитата · Личное сообщение · #19

pavka пишет:
Фантом, если я правильно понял развиваться дальше не будет


wrong


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 29 сентября 2008 17:58 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #20

pavka пишет:
Фантом, если я правильно понял развиваться дальше не будет


не нада дезу пускать ;)

ClockMan пишет:
Если я правильно понял то Hellspawn тестировал новую версию фантома.


всё верно.

посмотрел я плагин этот. мало того что на нём висит какая-то вм:
Code:
  1. 1002E94E     60                  PUSHAD
  2. 1002E94F     9C                  PUSHFD
  3. 1002E950     834424 10 04        ADD DWORD PTR SS:[ESP+10],4
  4. 1002E955     8BEC                MOV EBP,ESP
  5. 1002E957     8B7424 24           MOV ESI,DWORD PTR SS:[ESP+24]
  6. 1002E95B     81EC 00080000       SUB ESP,800
  7. 1002E961     81EC 00080000       SUB ESP,800
  8. 1002E967     8BFC                MOV EDI,ESP
  9. 1002E969     81EC 00010000       SUB ESP,100
  10. 1002E96F     FC                  CLD
  11. 1002E970     BB 00000010         MOV EBX,StrongOD.10000000
  12. 1002E975     6A 00               PUSH 0
  13. 1002E977     58                  POP EAX
  14. 1002E978     AC                  LODS BYTE PTR DS:[ESI]
  15. 1002E979     8B8483 B2E70200     MOV EAX,DWORD PTR DS:[EBX+EAX*4+2E7B2]
  16. 1002E980     8D0403              LEA EAX,DWORD PTR DS:[EBX+EAX]
  17. 1002E983     FFE0                JMP EAX
  18. ...
  19. 1002E2FD     33C0                XOR EAX,EAX                                       ; StrongOD.1002E2FD
  20. 1002E2FF     AC                  LODS BYTE PTR DS:[ESI]
  21. 1002E300     87E5                XCHG EBP,ESP
  22. 1002E302     8F0487              POP DWORD PTR DS:[EDI+EAX*4]
  23. 1002E305     87E5                XCHG EBP,ESP
  24. 1002E307     E9 69060000         JMP StrongOD.1002E975
  25. 1002E30C     6A 00               PUSH 0
  26. 1002E30E     58                  POP EAX
  27. 1002E30F     AC                  LODS BYTE PTR DS:[ESI]
  28. 1002E310     8B1487              MOV EDX,DWORD PTR DS:[EDI+EAX*4]
  29. 1002E313     0F9CC0              SETL AL                                           ; Non-standard form of command
  30. 1002E316     F7EA                IMUL EDX
  31. 1002E318     03F0                ADD ESI,EAX
  32. 1002E31A     E9 56060000         JMP StrongOD.1002E975

я уж на знаю, что они там прячут (буду надеяться, что рипнутых кусков там нету)
да и дроф весит 36kb (оу май гад!!!) так что юзать или не юзаться, каждый решает для себя сам.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 30 сентября 2008 08:41 New!
Цитата · Личное сообщение · #21

Предыдущяя версия не была ничем обработана. Я смотрел ничего инетересного там нет. Есть интересные решения, но они не стоят того чтобы их под вм убирать...

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 30 сентября 2008 09:29 · Поправил: AlexVel New!
Цитата · Личное сообщение · #22

Под стандартной олькой с этим плагом пара прог, запротекченных Экзекриптором 2.4.0. RC1.02 запускаются без проблем.
Под последним фантомом (1.30) на Duron 900 вообще прога не запускается (хотя дельта RDTSC выставлена корректно)
На двухядернике 5200 прога запускается так сказать от раза к разу. Но если один раз не запустилась - то все, больше уже не запустишь.
Останавливается на сообщении:
Debugged program was unable to process exception
или на сообщенииеще после кучи INT3 : Stack overflow
При этом в логе:
PhantOm plugin 1.30
by Hellsp@wn & Archer

File 'C:\1\xxx.exe'
>> Status: FPU bug patched
>> Status: OutputDebugString patched
>> Status: Exceptions handler patched
>> Hide Driver loading
>> Random Hide driver name = extrem.sys
>> Random Hide driver symlink = \.\extrem
>> Random Hide driver description = extrem
>> Status: Driver loaded
>> RDTSC Driver loading
>> Random RDTSC driver name = rdtsc
>> Random RDTSC driver symlink = \.\rdtsc
>> Random RDTSC driver description = rdtsc
>> Delta RDTSC = 00008800
>> RDTSC Driver loaded
>> Status: RDTSC hooked
New process with ID 00000608 created
00DDC7DA Main thread with ID 00000DCC created
>> Status: BlockInput hooked
>> Status: PEB patched [on system]
>> Status: KiUserExceptionDispatcher hooked
>> Status: ZwContinue hooked
>> Status: GetTickCount hooked
...

Так что использовать или нет - каждый решает для себя сам.


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 30 сентября 2008 09:43 · Поправил: Maximus New!
Цитата · Личное сообщение · #23

AlexVel не надо пускать дезу, все под фантомкой работает как надо, а вот ручки бы вправить не мешало бы. На крайняк дай ссылки на программы, которые у тебя не шли с фантомкой.

У меня по крайней мере даже SF под фантомкой воркает и не догадываеццо что его отлаживают.


Ранг: 1984.9 (!!!!)
Статус: Модератор
retired

Создано: 30 сентября 2008 10:06 · Поправил: Archer New!
Цитата · Личное сообщение · #24

В последних СФ нет антидебага, кроме IsDebuggerPresent А по фантому лучше на хаять во всех подряд топиках, а писать либо хеллу в личку, либо в его топике. А не разбрасывать по всему форуму мессаги, что где-то как-то он не работает. Вам надо, чтоб работало, али поглумиться пришли?



added: Дык это уже не антиотладка, это оля просто криво хандлит.


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 30 сентября 2008 10:43 · Поправил: Maximus New!
Цитата · Личное сообщение · #25

Archer пишет: В последних СФ нет антидебага, кроме IsDebuggerPresent

Хоть это и оффтоп, но я пожалуй не соглашусь с этим утверждением))

Скрин1 без фантомки
img517.imageshack.us/img517/397/scr1hf3.jpg

А теперь с фантомкой скрин2)) (Программа как видно находится на ОЕП)
img518.imageshack.us/img518/195/scr2zy6.jpg

Думаю дальнейшие споры тут не уместны))

Я для себя давно выбрал фантомку, она лучше, да и разработчик всегда рядом...

Недоделанные программы китайских школьников, которые иногда релизет паффко, конечно нужны, но не более чем в ознакомительных целях.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 30 сентября 2008 10:53 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #26

AlexVel

все галочки не надо выставлять, если неизвестно для чего они ;)
Арчи прав, все багрепорты, только в соотвествующей теме.

з.ы. оффтопить не надо, никто не пытается ничего выставить, я лишь привёл несколько фактов,
а кого-то, это походу задело, relax take it easy... учимся читать ридми.тхт!

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 30 сентября 2008 12:24 · Поправил: AlexVel New!
Цитата · Личное сообщение · #27

Archer пишет:
А по фантому лучше на хаять во всех подряд топиках

Я не собирался хаять фантом. Несомненно, что во многих случаях он выручает
Вам надо, чтоб работало, али поглумиться пришли?
У меня прога работает под SI и под Olly+StrongOD. Мне большего не надо.
По сути - мой пост - ответ на вопрос
Gideon Vi пишет:
разве сабжа чем-то лучше фантома?

Значит все таки чем-то лучше (не в общем, а в конкретном)
Дык это уже не антиотладка, это оля просто криво хандлит
Дык значит что StrongOD помогает олли не криво хандлить.
Следовательно не такой уж и бесполезный этот плагин, как кто-то пытается его выставить
(Недоделанные программы китайских школьников)

Добавлено:
еще маленько поэкспериментировал и пришел к следующему. Прога с экзекриптором запускается под олькой без проблем если объединить возможности phantom 1.30 и StrongOD:
в StrongOD оставляем только одну галку - Skip Some Expection (такая опечатка в плаге)
в Фантоме выставляем только 3 галки: Hide from PEB, load driver, Hide OllyDbg windows

ну или использовать только один StrongOD (без фантома) с выставленными галками:
Hide PEB, *KernelMode, Skip Some Expection

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 30 сентября 2008 14:01 · Поправил: tempread New!
Цитата · Личное сообщение · #28

AlexVel
File 'C:\1\xxx.exe'

А что за файл такой xxx.exe? Можешь выложить?

Ранг: 43.2 (посетитель)
Статус: Участник

Создано: 30 сентября 2008 14:15 New!
Цитата · Личное сообщение · #29

tempread пишет:
А что за файл такой xxx.exe? Можешь выложить?

Это переименованный экзешник Грандсметы 4.0.3
вообще без электронного ключа (Guardant Stealth II) она не запускается.
У меня-же пашет под собственным мулем.


Ранг: 256.6 (наставник)
Статус: Участник
Advisor

Создано: 1 октября 2008 00:12 New!
Цитата · Личное сообщение · #30

Maximus пишет:
все под фантомкой работает как надо

+1
//оссобено под криптор.
Maximus пишет:
Недоделанные программы китайских школьников, конечно нужны, но не более чем в ознакомительных целях.

+1
//хотя "буквари" у китайчегов рулят...
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
 eXeL@B —› Софт, инструменты —› OllyDBG v1.10 plugin - StrongOD v0.18 [2008.09.18]

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS