eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: skv, Alf (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› PhantOm plugin
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 01:43 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

Ранг: 36.0 (посетитель)
Статус: Участник

Создано: 22 января 2007 05:48 New!
Цитата · Личное сообщение · #2

Hellspawn
драйвер для скрытия драйвера все ОК!


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 22 января 2007 06:04 New!
Цитата · Личное сообщение · #3

Hellspawn пишет:
говорим чё добавить, от чего ещё спрятать...


Fake Windows Version

Для тех, кто не хочет отказываться от адванседа-плагина.
Конфликт с опциями:
Ignore and skip C0000008h
UnhandledExceptionFilter
ZwQueryInformationProcess
GetTickCount
NtGlobalFlag
HeapFlags
ForceFlags


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 06:16 New!
Цитата · Личное сообщение · #4

Gideon Vi

спасибо, добавлю пердупреждение в ридми...

Ранг: 2.3 (гость)
Статус: Участник

Создано: 22 января 2007 12:20 New!
Цитата · Личное сообщение · #5

Hellspawn

Windows Xp SP2 запуск файла упакованного Execryptor с галочкой на fake windows version- вылетает ошибка "Can't load Ole32.dll", без галочки все окей. Буду рад если это как-нибудь поможет в отладке плагина.


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 22 января 2007 12:31 New!
Цитата · Личное сообщение · #6

>интересно как скоро это появится у китайчегов
Хочешь выложу ..
скачал тот архив.. winrar грит битый..


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 12:56 New!
Цитата · Личное сообщение · #7

overwriter пишет:
скачал тот архив.. winrar грит битый..


винрар ф топку... 7zip решаед

cdt пишет:
"Can't load Ole32.dll"


хм, может она версию винды чекает.. лана попробую что нить придумать..


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 22 января 2007 13:17 New!
Цитата · Личное сообщение · #8

[OFFTOPIC]Иногда вижу, что на форумах тулзы выкладывают не авторы. Вот интересно это вообще в сцене этично считается или нет?[/OFFTOPIC]


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 22 января 2007 19:43 New!
Цитата · Личное сообщение · #9

Hellspawn пишет:
добавлю пердупреждение в ридми...


К стати, я не уверез по поводу одного только ZwQueryInformationProcess - при выставлении этой опции начинает палиться плагин. Если её убрать, а остальные Zw*** оставить, то тест проходится нормально. Означает ли это, что сабж защищает только от этой проверки?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 20:41 New!
Цитата · Личное сообщение · #10

Gideon Vi пишет:
Означает ли это, что сабж защищает только от этой проверки?


чё за бред? спать надо больше... мой плаг защищает от того, что написано в ридми...
или я вопрос не правильно понял)))


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 22 января 2007 20:46 New!
Цитата · Личное сообщение · #11

Hellspawn пишет:
спать надо больше...


Больше надо спать. Ну или лучше читать ридми


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 23 января 2007 00:58 New!
Цитата · Личное сообщение · #12

Hellspawn
Grand merci. Первый плуг, с которым у меня пошел криптор! Не работает тока версия выни. Ну это мелочь. Молоток!
Ну и с днем рождения, соответственно. Удачи, брат. Родина тебя не забудет


Ранг: 1996.4 (!!!!)
Статус: Модератор
retired

Создано: 23 января 2007 02:33 New!
Цитата · Личное сообщение · #13

На всякий случай скажу, что драйвер к этому плагу и всё, что связано с драйвером, писал я. Если есть какие пожелания (что-то добавить/удалить) или косяки насчёт драйвера, пинать меня.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 23 января 2007 02:38 New!
Цитата · Личное сообщение · #14

Archer
4 BCODа за полчаса много !


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 23 января 2007 10:16 New!
Цитата · Личное сообщение · #15

pavka пишет:
4 BCODа за полчаса много !


это ты наверное что то экстримальное отлаживаешь))) дров не должен так косячит,
в принципе он очень стабилен, у мну ниразу не было бсода... ну ты говори как повторить,
а мы исправим...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 23 января 2007 19:52 New!
Цитата · Личное сообщение · #16

Hellspawn
ты не поверишь совершенно безобидный анпакми скаченый у немцев! Простенький и довольно прикольный!
Скорей всего конфлит с какими то дровами

{ Атач доступен только для участников форума } - gRn-wTF-cMe.rar


Ранг: 62.3 (постоянный)
Статус: Участник

Создано: 23 января 2007 21:50 · Поправил: Faza New!
Цитата · Личное сообщение · #17

Hellspawn
Не хочешь добавить обработку и "NtRaiseException" , там делов проверить самому хендл и драйвер уже есть (в аттаче прога (ты ее уже наверно видел ), что юзает этот способ)
ели есть желание то могу дать свой исходник драйвера или обхода ани дебага int 1 ,то что юзает страрфорсе 3 ххх, правда для олки надо его еще чуть доработать, но ICE дружит со старом при этом драйвере.


Ранг: 62.3 (постоянный)
Статус: Участник

Создано: 23 января 2007 22:00 New!
Цитата · Личное сообщение · #18

сори

{ Атач доступен только для участников форума } - Anti_debug.tgz


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 24 января 2007 02:01 New!
Цитата · Личное сообщение · #19

Faza хм, у мну на этом тесте не детектит...
просто в игнор все исключения и усё

Faza пишет:
Не хочешь добавить обработку и "NtRaiseException" , там делов проверить самому хендл и драйвер уже есть (в аттаче прога (ты ее уже наверно видел ), что юзает этот способ)


как я понял в аттаче юзается бага с CloseHandle?


Ранг: 1996.4 (!!!!)
Статус: Модератор
retired

Создано: 24 января 2007 02:23 New!
Цитата · Личное сообщение · #20

pavka
Погонял я этот анпакмис, у меня нормально работает. В принципе драйвер ничего особенно не делает, только хучит функции. Может дерётся с другими дровами за хуки, попробуй выгрузить фаер/антивирь, кто ещё может хучить...
Faza
С драйвером я работаю, поэтому в области драйвера что-то сделать-это ко мне. Тут не в NtRaiseException дело, по крайней мере, если поставить галку передавать эксепшн проге, то пройдёт нормально, а вот CloseHandle, на котором там вторая проверка есть, уже похукан. Другими словами, у меня Олька не палится. А насчёт int 1, может и реализую, в ПМ кину контакты.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 27 января 2007 03:56 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #21

PhantOm plugin 0.53

[*] теперь драйвер находится в ресурсах
[*] добавлена защита от NtSetInformationThread
[*] исправлен баг с Fake Windows version.


li.ru/go?hellspawn.nm.ru/works/PhantOm.plugin.0.53.zip

з.ы. просьба потестить многострадальную "Fake Windows version"


Ранг: 116.7 (ветеран)
Статус: Участник

Создано: 27 января 2007 04:11 · Поправил: Mifodix New!
Цитата · Личное сообщение · #22

Hellspawn пишет:
з.ы. просьба потестить многострадальную "Fake Windows version"

Всё отлично работает:
-[ GetVersion ]
Status: Windows Me 04.90.1998
Респект за плагин!


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 27 января 2007 05:12 New!
Цитата · Личное сообщение · #23

Hellspawn
PhantOm plugin 0.53 глюк такой:

первое что глянул было Offline Explorer Enterprise 4.5
WinXP Prof SP-2

На всех опциях ругается на Юникод Win 95, он меня уже просто ним замучал.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 27 января 2007 05:16 New!
Цитата · Личное сообщение · #24

aspirin пишет:
На всех опциях ругается на Юникод Win 95, он меня уже просто ним замучал.


мля, вот если не знаешь нафиг лезть? "Fake Windows version" - из названия не понятно, что
опция делает? для тех кто в танке - это опция подменяет версию винды и прога может
после этого глючить, сделано это было в основном для протов! о чём я уже упоминал выше...

андерстуд?


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 27 января 2007 09:16 New!
Цитата · Личное сообщение · #25

Hellspawn пишет:
мля, вот если не знаешь нафиг лезть?

ты о чём вообще?
Hellspawn пишет:
андерстуд?

Ес, офкос!!!
Кстати всё-равно вылетает часто ошибка с int3 breakpoints, стоит убрать все галочки, всё нормуль, обрати на это внимание.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 27 января 2007 09:23 New!
Цитата · Личное сообщение · #26

aspirin пишет:
ты о чём вообще?


проехали)))

aspirin пишет:
ошибка с int3 breakpoints


я о такой первый раз слышу, можно чуть поподробнее? Посмотри олькин лог после этой "ошибки"
есть ли там строки красным?


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 28 января 2007 03:33 New!
Цитата · Личное сообщение · #27

Hellspawn пишет:
з.ы. просьба потестить многострадальную "Fake Windows version"


Всё работает отлично, спасибо за релиз. Если вопрос "от чего ещё скрыть" остаётся в силе, то я бы предложил пробежаться по остальным функциям того же advancedolly (хотя бы скрывающим, а так не плохо и баг-фиксы), включая и многострадальную TLS


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 28 января 2007 03:47 New!
Цитата · Личное сообщение · #28

Hellspawn пишет:
Fake Windows version

Не защищает от GetVersionEx - говорит, что у меня винда МE Service pack 2 =)


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 января 2007 03:51 New!
Цитата · Личное сообщение · #29

и чего? такая то же есть... разбираюсь с ПЕБ что-то никак не найду, где там сервис пак то

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 28 января 2007 03:57 New!
Цитата · Личное сообщение · #30

Лучше нормальный anti-rdtsc сделайти, а то половина что я пробовал не запускается, а другая всегда после rdtsc возвращает 0


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 января 2007 04:04 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #31

нормальный сделать неполучиться можно либо:

1) 0 возвращать
2) константу
3) константу + счётчик

больше идей нет..

з.ы. с версией разобрался, позже поправлю... еще GetTickCout перепишу
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
 eXeL@B —› Софт, инструменты —› PhantOm plugin

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS