eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: sty (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› PhantOm plugin
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 01:43 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 28 января 2007 04:07 New!
Цитата · Личное сообщение · #2

Hellspawn
Из RtlGetVersion:

MOV EAX,DWORD PTR FS:[18]
MOV EDI,DWORD PTR DS:[EAX+30]
<мусор>
MOV EAX,DWORD PTR DS:[EDI+1F4]

После этого в eax адрес строки в UNICODE.

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 28 января 2007 04:22 New!
Цитата · Личное сообщение · #3

Hellspawn пишет:
3) константу + счётчик

вполне нормально, или нет?


Ранг: 420.3 (мудрец)
Статус: Участник

Создано: 28 января 2007 04:25 New!
Цитата · Личное сообщение · #4

Hellspawn пишет:
3) константу + счётчик

Лучше так.

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 28 января 2007 04:29 New!
Цитата · Личное сообщение · #5

просили без тупых вопросов, но всеж, чем он лучше\хуже, например HideToolz. От SDProtectorPro116 спрятать олю не смог, HideToolz - спрятал.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 января 2007 04:29 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #6

UsAr пишет:
вполне нормально, или нет?


в том то и дело, что нет...
какой размер счётчика то установить? вызовем rdtsc 2 подрят и чего? попалят нас...
лана прикрутимс

gegter пишет:
От SDProtectorPro116


посмотрю..

писал я плаг для себя (приват), ну если не надо не юзай, или ты не видел что
возможности то разные? не заставляю никого пользоваться..

зы. не понял к чему вопрос вообще


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 28 января 2007 06:34 New!
Цитата · Личное сообщение · #7

Hellspawn пишет:
какой размер счётчика то установить? вызовем rdtsc 2 подрят и чего? попалят нас...

посмотри как в оллиадванцед.. там или 0 или +1-счетчик


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 28 января 2007 06:50 New!
Цитата · Личное сообщение · #8

lord_Phoenix пишет:
посмотри как в оллиадванцед.. там или 0 или +1-счетчик

0 - не подходит, т.к. вызовы через несколько команд засекут перехват
+const - замеряем задержки между сильно различающимися по времени выполнении участками кода, видим что разницы нету.

Далеко от идеала..

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 28 января 2007 07:01 New!
Цитата · Личное сообщение · #9

А можно как-нибудь сделать, чтобы увеличивалось на половину разницы между оригинальными значениями rdtsc?
Например чтобы если первый раз rdtsc возвратит A, а второй раз B, то плагин подменет вместо второго раза A+(B-A)/2


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 января 2007 07:02 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #10

посмотрел я SDProtector 1.16, всё норм, тока надо отключить "защиту Drx" и "левую версию винды"..
разобрался только с Drx, походу прот самотрассируется?

Exception at : 00474687 Handler : 00474720 Dr0=004746CB Dr1=004746B6 Dr2=0047469D Dr3=00474687 Dr6=FFFF0FF8 Dr7=00000555
Exception at : 0047469D Handler : 00474720 Dr0=004746CB Dr1=004746B6 Dr2=0047469D Dr3=00474687 Dr6=FFFF0FF4 Dr7=00000555
Exception at : 004746B6 Handler : 00474720 Dr0=004746CB Dr1=004746B6 Dr2=0047469D Dr3=00474687 Dr6=FFFF0FF2 Dr7=00000555


хм, а почему мне не сообщили)))


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 января 2007 07:07 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #11

UsAr пишет:
А можно как-нибудь сделать, чтобы увеличивалось на половину разницы между оригинальными значениями rdtsc?
Например чтобы если первый раз rdtsc возвратит A, а второй раз B, то плагин подменет вместо второго раза A+(B-A)/2


через плагин не получиться - это раз, ток через драйвер!
второе, это ловить обращения только от отлаживаемого процесса! + там с процессорами лажа, ну если Archer
согласиться) по поводу драйвера - это к нему!

з.ы. после системного бряка, винда перезатирает некоторые мои издевательства над PEB'ом
придётся извращаться...

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 28 января 2007 08:24 New!
Цитата · Личное сообщение · #12

Hellspawn пишет: и "левую версию винды".. что это?
Hellspawn пишет: надо отключить "защиту Drx", тогда оля виснет при подгрузке rpcrt4.dll
0051892F 66:8B48 0E MOV CX,WORD PTR DS:[EAX+E] <-- здесь
00518933 66:8B50 06 MOV DX,WORD PTR DS:[EAX+6]
00518937 66:8B58 1E MOV BX,WORD PTR DS:[EAX+1E]
0051893B 83C4 08 ADD ESP,8
Если отключить еще hide from PEB, то не виснет, но процесс terminated


Ранг: 1986.7 (!!!!)
Статус: Модератор
retired

Создано: 28 января 2007 09:23 New!
Цитата · Личное сообщение · #13

Вижу, пошли пожелания насчёт rdtsc. Тут нужно хукать прерывания, для этого надо учитывать, что процессоров может быть больше одного. Драйвер, который используется, уже написан на тасме. Первый драйвер, который используется в OllyAdvanced и увеличивает после каждого вызова rdtsc на 1-тоже мой драйвер, но он написан на С, ибо на асме хукать несколько процессоров геморно. Отсюда вывод, если хотите rdtsc, либо дайте мне код на асме (на С я юзаю некоторые макросы, которые надо думать, как переписать на асме), либо для этого будет второй драйвер. А насчёт алгоритма, что там мутить в rdtsc, добавлять константу или что, дык теоретически можно мутить всё подряд. Если какой-то способ больше всего понравится, тот могу и сделать. Но, имхо, смысла особого нет, поскольку есть способ обнаружить это дело без многократного замера, а гораздо проще.


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 28 января 2007 09:25 New!
Цитата · Личное сообщение · #14

Archer пишет:
есть способ обнаружить это дело без многократного замера, а гораздо проще.

Имеешь ввиду из 3 кольца? Можно поподробнее?)


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 28 января 2007 10:22 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #15

gegter
у мну ничё не виснет, и всё воркает как надо... хз чё там у тебя читай мои ранние рекомендации!
тока что запаковал со всеми опциями)))

з.ы. напиши лучше

HoBleen

сначала с GetTickCount разберёмся


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 28 января 2007 10:29 New!
Цитата · Личное сообщение · #16

Hellspawn
ИМХО, да все те же антихуки в GetTickCount и в rdtsc..


Ранг: 1986.7 (!!!!)
Статус: Модератор
retired

Создано: 28 января 2007 10:55 New!
Цитата · Личное сообщение · #17

Подумал я насчёт вариантов реализации rdtsc, чтоб не константа. Наиболее реальными мне показались 2 метода:
1. Получает реальное значение и делит его на большое число (сам выберу методом тыка ). Хорошо, что более-менее реально. Плохо, что если уснёте, пуская слюни на клаву, момент будет упущен.
2. Прибавляет каждый раз рандомное число (0-255), ну хорошо, ПСЕВДОрандомное. Следует учитывать, что работает это глобально, поэтому если участок выполняется долго, то другая программа тоже может вызвать rdtsc=>тоже прибавление, это плюс. Минус в том, что всё же это не реальное значение.
HoBleen
Читал я, что можно 1 способом это отловить из 3 кольца, правда, для винды 9х. Сам не пробовал, честно говоря. Говорить не буду, не хочу плодить писателей говнопротов.


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 28 января 2007 11:09 · Поправил: HoBleen New!
Цитата · Личное сообщение · #18

Archer пишет:
Читал я, что можно 1 способом это отловить из 3 кольца, правда, для винды 9х.

Не универсально, не катит - на NT вообще смысла не имеет. Много ли крякеров работает под 9х? Сомневаюсь.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 февраля 2007 09:29 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #19

PhantOm plugin 0.55

[url=http://hellspawn.nm.ru/works/PhantOm.plugin.0.55.zip
]http://hellspawn.nm.ru/works/PhantOm.plugin.0.55.zip
[/url]

пробуем, смотрим... просьба оттестить фичи: GetTickCount и RDTSC!

Что нового - 0.55
[*] Улучшена эмуляция GetTickCount.
[*] Добавлена эмуляция RDTSC.
[*] исправлен баг с не обнулением ServicePack.
[*] Немного оптимизирован код.


работа над плагом пока заморожена, копаю прогу с говнопротом...

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 12 февраля 2007 09:36 · Поправил: gegter New!
Цитата · Личное сообщение · #20

/// уже есть, а выдавало "This file not found"


Ранг: 1986.7 (!!!!)
Статус: Модератор
retired

Создано: 12 февраля 2007 09:40 New!
Цитата · Личное сообщение · #21

gegter
Всё норм грузиццо.


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 12 февраля 2007 09:42 New!
Цитата · Личное сообщение · #22

gegter пишет:
нет такого файла на серваке

все есть

Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 12 февраля 2007 09:54 New!
Цитата · Личное сообщение · #23

lord_Phoenix пишет:
все есть


файло действительно есть, только качается с нескольких попыток

А вообще, подскажите, в каком комплекте ольки, нужно тестить этот плуг, а то уже все варианты перепробовал, палит, и все тут (гавнопрот 2.3.9)


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 февраля 2007 09:58 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #24

знаю точно, что 2.2.4 не палит со всеми опциями... а вот остальные как-то странно, раз через раз...
приложи прогу, может покопаю

а вообще оля должна быть патченная и желательно аналогичные опциив жругих плагах отключить,
т.к. плаг хучит более скрытно

Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 12 февраля 2007 10:04 New!
Цитата · Личное сообщение · #25

Hellspawn пишет:
приложи прогу, может покопаю


это сам гавнопрот 2.3.9

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 12 февраля 2007 10:24 New!
Цитата · Личное сообщение · #26

Hellspawn пишет:
пробуем, смотрим... просьба оттестить фичи: GetTickCount и RDTSC!

П0тестил, вр0де раб0тает! Респект!


Ранг: 1986.7 (!!!!)
Статус: Модератор
retired

Создано: 12 февраля 2007 10:58 New!
Цитата · Личное сообщение · #27

Открывать плаг процесс не даёт, основная антиотладка похукана. Говнопрот палит скорее всего по окошкам и классам окошек, это дело в ольке неприкрыто (как вариант-в связке с HideToolz не должно палиццо). А если какая прога жить совсем не даёт, выложите, задрючим говнопрот.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 февраля 2007 11:00 New!
Цитата · Личное сообщение · #28

BoOMBoX/TSRh пишет:
это сам гавнопрот 2.3.9


короче запустил я это "чудо" под ольгой... (только пропатчить пришлось)
он палит не конкретно отладчик, а отладку как таковую...

Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 12 февраля 2007 11:22 New!
Цитата · Личное сообщение · #29

Archer пишет:
в связке с HideToolz не должно палиццо


Да и в этой связке и в перепробованной туевой хучей вариантов, палиццо

Hellspawn пишет:
он палит не конкретно отладчик, а отладку как таковую...


у меня он палит, похоже, все-таки сам отладчик:

Log data
Address Message
007625FE INT3 command at ГАВНОПРОТ.007625FE
007637D0 Exception C000001E (INVALID LOCK SEQUENCE)
00767555 INT3 command at ГАВНОПРОТ.00767555
----------------поскипано------------------------------------------
>> Status: Double exception passed
>> Status: Double exception passed
007625FE INT3 command at ГАВНОПРОТ.007625FE
Thread 00000174 terminated, exit code FFFFFFFF (-1.)
Thread 00000BDC terminated, exit code FFFFFFFF (-1.)
007637D0 Exception C000001E (INVALID LOCK SEQUENCE)
0076A9AF Exception C000001E (INVALID LOCK SEQUENCE)
Process terminated, exit code FFFFFFFF (-1.)


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 февраля 2007 12:07 New!
Цитата · Личное сообщение · #30

попробуй новую версию плага! я отключил кое-что в ней...

BoOMBoX/TSRh пишет:
>> Status: Double exception passed


как раз таки отладку! у ольки бывают косяки с обработкой исключений...
вот мой плаг пытается поправить.. но не всегда это гууд...

Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 12 февраля 2007 12:21 New!
Цитата · Личное сообщение · #31

Новая версия не помогла

И еще, при включении опции Fake Windows Version - ошибка cannot load oleaut32.dll.


P.S.

Win XP SP2
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
 eXeL@B —› Софт, инструменты —› PhantOm plugin

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS