eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: ALY, kpnemo10 (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› PhantOm plugin
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 01:43 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 12 февраля 2007 18:27 New!
Цитата · Личное сообщение · #2

Hellspawn пишет:
он палит не конкретно отладчик, а отладку как таковую..

убрать CreateThread отловить где лепит железные бряки должно запускаться! у меня на шадов без плугов запускался ..
Archer пишет:
как вариант-в связке с HideToolz не должно палиццо)

Хм.. у меня этот вариант через раз синяки выбрасываетArcher пишет:
Открывать плаг процесс не даёт, основная антиотладка похукана.

дает не дает ... прога midi2mp3 прибивает ольку сфантомом притом как с адвансед так и без ...


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 13 февраля 2007 09:36 New!
Цитата · Личное сообщение · #3

pavka пишет:
убрать CreateThread


нифига,некоторые проги после этого не запускаются при любом раскаде!

pavka пишет:
у меня на шадов без плугов запускался


изврат)

pavka пишет:
midi2mp3


скачал, буду смортеть...


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 13 февраля 2007 13:31 New!
Цитата · Личное сообщение · #4

хех, надо называть вещи своими именами!

не прибивает ольку, а лиш терминэйтится, из-за необработанного исключения!
фтыкаем картинку!

img68.imageshack.us/img68/5750/fuckcryptorzc0.jpg

скоро прикручу к плагу! один минус, прога стартует - очень долго на моём бедно P III


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 14 февраля 2007 11:49 New!
Цитата · Личное сообщение · #5

Вот хороший пример софтины с криптером, палит в любой случае со всеми настройками и плагинами:

Ice Clock 3D Screensaver

ссылку не дам, т.к. сам из сети качал.
p.s. там совсем свежий криптор.

Ранг: 120.2 (ветеран)
Статус: Участник

Создано: 14 февраля 2007 13:04 New!
Цитата · Личное сообщение · #6

aspirin

да нормально запускается с одним плагином phantom.


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 16 февраля 2007 10:50 New!
Цитата · Личное сообщение · #7

Hellspawn
Не по теме немного, но не мог бы ты добавить в плагин функцию, чтоб кнопка селект алл при сохранении результатов после патча была всегда активна? Просто олли адвансед бэта уж слишком глючная. И эксемпшенами меня уже засыпала.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 5 апреля 2007 22:29 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #8

PhantOm plugin 0.57

[*] Исправлен баг при аттаче к процессу.
[*] Добавлена защита от GetProcessTimes.
[-] Убрана опция Fake Windows version (на время).

hellspawn.nm.ru/works/PhantOm.plugin.0.57.zip

з.ы. перепробовал кучу апи в сдк олькином, но так и не смогу удалить бряку с ЕР ппц...

Ранг: 213.5 (наставник)
Статус: Участник
забанен

Создано: 6 апреля 2007 02:23 New!
Цитата · Личное сообщение · #9

Hellspawn пишет:
з.ы. перепробовал кучу апи в сдк олькином, но так и не смогу удалить бряку с ЕР ппц...

invoke Getcputhreadid
invoke Findthread,eax
mov ebx,eax
mov eax,[ebx+14h] ;eax=EP
push 0;просто 0
lea ecx,[eax+1]
push ecx ;следующий байт после EP (EP+1)
push eax ;адрес EP
call Deletebreakpoints
add esp,0Ch ;выравнивание стека (нужно или нет, зависит от линковки)
думаю, в твоем случае подойдет

P. S.
Сорриии… что не на Delphi, не люблю пропаганду ЯВУ!

Ранг: 13.9 (новичок)
Статус: Участник

Создано: 6 апреля 2007 02:31 New!
Цитата · Личное сообщение · #10

Hellspawn

OllyICE 1.10, WinXP SP2

-[ NtGlobalFlag]
Status: Debugger detected!
-[ ProcessHeaps ]
Status: Debugger detected! Flag [1]
Status: Debugger detected! Flag [2]
Status: Debugger detected! Flag [3]
-[ FileName ]
Status: Debugger detected!
-[ Invalid Handle ]
Status: Debugger detected!
-[ GetTickCount ]
Status: Debugger detected!

Если включаю все галки в плагине HideOD то остаётся
-[ Invalid Handle ]
Status: Debugger detected!
-[ GetTickCount ]
Status: Debugger detected!


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 6 апреля 2007 08:23 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #11

Lakmus

что в логе? ты хотя бы 1 галочку то поставил?

Demon666

о сенкс! а я то думаю, что ему надо перевадать то! терь остановку на TLS прикручу с удалением
бряка на ЕР

Demon666 пишет:
Сорриии… что не на Delphi, не люблю пропаганду ЯВУ!


не имет значение, я асм тоже хорошо знаю...

Ранг: 13.9 (новичок)
Статус: Участник

Создано: 6 апреля 2007 11:51 New!
Цитата · Личное сообщение · #12

Hellspawn
да, галочки в плагине все стоят, драйвер (версии 0.51, новее не нашёл) лежит рядом с плагином.

Лог в аттаче. Там так же полный лог того, что пишет EDD 0.42

{ Атач доступен только для участников форума } - log.txt

Ранг: 13.9 (новичок)
Статус: Участник

Создано: 6 апреля 2007 14:05 New!
Цитата · Личное сообщение · #13

Hellspawn
запустил ольгу вобще без плагинов кроме твоего, те же результаты, только стало
-[ Invalid Handle ]
Status: Nothing!
-[ GetTickCount ]
Status: Nothing!
посмотрел настройки Olly Advanced, снял галку с Ignore and skip Invalid Handle, детект по Invalid Handle исчез. То есть сейчас проблемы с NtGlobalFlag, ProcessHeaps, FileName и GetTickCount.
Детект по GetTickCount вернулся после того как опять закинул в папку все плагины


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 6 апреля 2007 17:04 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #14

у тебя проблемы с дургими плагинами, читай топ, там всё писалось как надо делать!
плаг проверен на XP и 2000 работает норм
я конечно гляну, есть одно подозрение...

Ранг: 456.3 (мудрец)
Статус: Участник
Android Reverser

Создано: 6 апреля 2007 17:18 · Поправил: SaNX New!
Цитата · Личное сообщение · #15

Hellspawn
На ольке без плагинов (но патченая):
-[ BeingDebugged]
Status: Debugger detected!
-[ NtGlobalFlag]
Status: Debugger detected!
-[ ProcessHeaps ]
Status: Debugger detected! Flag [1]
Status: Debugger detected! Flag [2]
Status: Debugger detected! Flag [3]

В логе:
>> Status: OutputDebugString patched
>> Status: Driver already loaded
>> Status: RDTSC already hooked
New process with ID 00000CD0 created
Main thread with ID 00000CE0 created
>> Status: ZwQueryInformationProcess hooked
>> Status: ZwSetContextThread hooked
>> Status: PEB patched
>> Status: KiUserExceptionDispatcher hooked
>> Status: ZwContinue hooked
>> Status: GetTickCount hooked

ЗЫ: EDD v0.2

Ранг: 9.7 (гость)
Статус: Участник

Создано: 9 апреля 2007 10:41 New!
Цитата · Личное сообщение · #16

У мну всё норм работает.. Сенкс Hellspawn. Мне нравится особенно в связке с Olly Advanced. Go0d job!


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 9 апреля 2007 10:55 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #17

походу на какой то системе косячит, хотя я вроде универсально кодил...
SaNX или Lakmus стукните в аську как будет время, выясним причину бага

з.ы. попробуйте hellspawn.nm.ru/works/PhantOm.plugin.0.58.zip

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 9 апреля 2007 11:50 New!
Цитата · Личное сообщение · #18

Hellspawn

У меня, при включении опции hook GetProcessTimes постоянно вылезает сообщение "Не знаю, как продолжить работу, поскольку память по адресу A10С86D5 не читается. Попробуйте изменить EIP или передать исключение в программу". При нажатии на кнопку ОК и клавиши Shift+F9 программа завершает свой процесс


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 9 апреля 2007 12:03 New!
Цитата · Личное сообщение · #19

когда именно оно вылазеет? просто плаг блокирует доступ к процессу, не давая получить
инфу о времени включать лучше, только на протах , где используется этот метод детекта...
или у тебя на всех прогах так?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 9 апреля 2007 12:05 New!
Цитата · Личное сообщение · #20

vnekrilov пишет:
У меня, при включении опции hook GetProcessTimes постоянно вылезает сообщение

Хм.. Та же фигня


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 9 апреля 2007 12:35 New!
Цитата · Личное сообщение · #21

pavka

глянь как хукнулась XXQueryInformationProcess

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 9 апреля 2007 13:53 New!
Цитата · Личное сообщение · #22

Чет не хучится и драйвер не грузится ....


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 9 апреля 2007 14:59 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #23

Hellspawn пишет:
з.ы. попробуйте http://hellspawn.nm.ru/works/PhantOm.plugin.0.58.zip http://hellspawn.nm.ru/works/PhantOm.plugin.0.58.zip


-[ GetTickCount ]
Status: Debugger detected!

>> Status: OutputDebugString patched
>> Status: Driver loaded
>> Status: RDTSC hooked
New process with ID 00000E8C created
00451F74 Main thread with ID 00000A6C created
>> Status: ZwQueryInformationProcess hooked
>> Status: ZwSetContextThread hooked
>> Status: PEB patched
>> Status: KiUserExceptionDispatcher hooked
>> Status: ZwContinue hooked
>> Status: GetTickCount hooked


Версия 0.55 работает.

зы. Зачем [-] Убрана опция Fake Windows version (на время).?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 9 апреля 2007 15:07 New!
Цитата · Личное сообщение · #24

Gideon Vi пишет:
зы. Зачем [-] Убрана опция Fake Windows version (на время).?


больно уж глючит сильно... да и не очень то необходимая опция.
не много изменил метод хука GetTickCount (некоторые проты палили), поэтому мой тест
сечёт это дело. Всё остальное я так понимаю норм?

Ранг: 456.3 (мудрец)
Статус: Участник
Android Reverser

Создано: 9 апреля 2007 16:20 New!
Цитата · Личное сообщение · #25

Hellspawn
уже лучше, осталось только

-[ BeingDebugged]
Status: Debugger detected!


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 9 апреля 2007 17:42 New!
Цитата · Личное сообщение · #26

так разобрались, был конфликт с плагином DeJunk - имхо бред))) он тупо вписывал ноль во
флаг BeingDebugged..

тут норм версия:
hellspawn.nm.ru/works/PhantOm.plugin.0.58.zip


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 10 апреля 2007 02:08 New!
Цитата · Личное сообщение · #27

Hellspawn пишет:
Всё остальное я так понимаю норм?


да, всё остальное в лучшем виде. по крайней мере, на чистой ольге (только сабж и адвансед).


Ранг: 274.9 (наставник)
Статус: Участник
Advisor

Создано: 10 апреля 2007 06:30 New!
Цитата · Личное сообщение · #28

Gideon Vi
Солидарен!!!!!!!!
Нужная вещь в хозяйстве)))))))
Посносил все старые плуги для этих делов,оставил только этот и адвансед.Радостно стало...)))))))
Без него бы LikeRusXP не вскрыл бы.Палила до этого дебагер.
Hellspawn
Огромное СПАСИБО!!!!!!!!


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 10 апреля 2007 07:33 New!
Цитата · Личное сообщение · #29

афаир много плугов пишут ноль как и деджанк..

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 10 апреля 2007 07:36 New!
Цитата · Личное сообщение · #30

Bronco пишет:
Без него бы LikeRusXP не вскрыл бы.

Там же вроде VMProtect был неужели отодрал ?


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 10 апреля 2007 09:20 New!
Цитата · Личное сообщение · #31

pavka пишет:
Там же вроде VMProtect был неужели отодрал ?


не знаю, до какой версии он там был, но сейчас я его не вижу. pep почти отодрали (скорос будет релиз статьи от внекрылова (не помню, как точно ник пишется). к стати, кому интересно возиться с антиотладкой - скачайте LikeRusXP Localization v5.18. интересные трюки начиная с 5,17 появились.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
 eXeL@B —› Софт, инструменты —› PhantOm plugin

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS