 |
eXeL@B —› Основной форум —› Обнаружение OllyDbg |
| Посл.ответ | Сообщение |
|
|
Создано: 18 сентября 2005 07:28 · Личное сообщение · #1 Привет всем, как я давно здесь не был... все дела.. учеба... но вот наконец я тута 
Решил поделится некоторыми своими соображениями, тема популярна и может кто-нибудь скажет, что я украл чужие идеи, но это не так... все придумано мной 
реализовать это на коде очень легко.. обойти тоже не особо трудно... но многих отпугнет эта защита... способ номер 1: -1) получаем список всех запущенных процессов в системе (*.exe) -1.1) смотрим есть ли среди них OLLYDBG.EXE (для новичков) -1.2) узнаем размеры всех запещенных приложений... -1.2.1) смотрим а есть ли среди них 1,06 МБ (1 117 696 байт) v1.10 (для разных версий размер разный...) -1.2.2) чтобы уж полюбе это была олли, читаем строку из exe (совершенно любую) -1.3) берем путь для всех приложений (D:\SOFT forCracker\Отладчики\OllyDbg 1.10\) -1.3.1) а нету ли в этой директории ollydbg.ini ??? есть тогда на выход... -1.3.1.1) а нету ли в директории ini файла (любого) читаем строку из него [Columns] CPU Disassembler +) например способ номер 2: 1) получаем список всех окон в системе 1.1) нам нужны тока видимые 1.2) а у многих ли окон есть дочерние??? 1.3) ах есть.. а не ACPUREG ли это или ACPUASM или ACPUDUMP... это всё можно модифицировать и усложнять 
есть еще несколько способов... тоже сам намутил.. тока не все еще удалось программно реализовать 
вот вроде всё.. пишите кому что не понятно.. ----- [nice coder and reverser]  |
|
|
Создано: 18 сентября 2005 08:37 · Личное сообщение · #2 Это все банально... |
|
|
Создано: 18 сентября 2005 08:41 · Личное сообщение · #3 Hellspawn пишет: что я украл чужие идеи, но это не так... все придумано мной изобретение велосипеда рулит )))))))) ЗЫ баян |
|
|
Создано: 18 сентября 2005 09:07 · Личное сообщение · #4 ну почему же банально?? =) а если это все хорошо спрятать.... то очень даже.. смотря еще как реализовать... ну не знаю.. новечкам будет полезно
----- [nice coder and reverser] |
|
|
Создано: 18 сентября 2005 09:29 · Личное сообщение · #5 придераетесь... щас обижусь и напишу злобный вирус
Вот недавно откопал пример... не мой =) может кто объяснит почему так??? перелипил все это на дельфи вроде работает.... var eax_,ebx_: dword; begin eax_ := LoadLibrary('KERNEL32.DLL'); ebx_:=dword(GetProcAddress(eax_, 'ExitProcess')); в чем смысл? (отладка) eax_=BFF60000 ebx_=856601D8 (не отлаживаем) eax_=BFF60000 ebx_=BFF7D97D вот такие пироги
----- [nice coder and reverser] |
|
|
Создано: 18 сентября 2005 11:48 · Личное сообщение · #6 Hellspawn относительно тормозной способ палить отладчик ... ----- Пиво, сиськи, транс |
|
|
Создано: 18 сентября 2005 11:55 · Личное сообщение · #7 объясни почему??? даже на слабых компах.. моя прога проделывала все это за долисекунд 
ну не знаю... если конечно у большенства челов 486 то может быть и тормозной 
по крайней мере это на много лучше, чем тупо вызывать IsDebuggerPresent.... для общего развития потянет! ----- [nice coder and reverser] |
|
|
Создано: 18 сентября 2005 13:16 · Личное сообщение · #8 Hellspawn пишет: тогда на выход... , берем сайс и ломаем все нах ----- TBR |
|
|
Создано: 18 сентября 2005 13:21 · Личное сообщение · #9 Grey пишет: берем сайс и ломаем все нах ну да... ты сначала найди эту проверку в коде... 
во вторых щас про олли =) имхо большенство пользуются ей, так как она проще и удобнее сайса... ну а против сайса вообше примеров обнаружения немеренно... ----- [nice coder and reverser] |
|
|
Создано: 18 сентября 2005 13:21 · Личное сообщение · #10 Hellspawn пишет: перелипил все это на дельфи вроде работает Фигня какая-то, при чём тут это + в WinXP вообще таких адресов нет. Hellspawn пишет: eax_=BFF60000 ebx_=856601D8 |
|
|
Создано: 18 сентября 2005 13:22 · Личное сообщение · #11 Hellspawn пишет: ну а против сайса вообше примеров обнаружения немеренно Хех, IceExt рулит ;) |
|
|
Создано: 18 сентября 2005 13:30 · Личное сообщение · #12 RideX пишет: Фигня какая-то, при чём тут это + в WinXP вообще таких адресов нет. вообщето это значение переменных... ты хоть код видел, который я писал??? если ты не заметил, значения этих переменных меняются, если идет отладка... я пробовал на WinME, под XP логично предположить, что адресса будут другие
я и спрашивал почему адреса меняются.. я что то читал про редирек, а почему он происходит??? ----- [nice coder and reverser] |
|
|
Создано: 18 сентября 2005 13:40 · Личное сообщение · #13 Hellspawn пишет: вообщето это значение переменных... ты хоть код видел, который я писал??? Ну ты блин даёшь
Что по твоему возвращает ф-ция GetProcAddress: Hellspawn пишет: eax_ := LoadLibrary('KERNEL32.DLL'); ebx_:=dword(GetProcAddress(eax_, 'ExitProcess')); Может быть адрес экспортируемой из DLL ф-ции? :-D |
|
|
Создано: 18 сентября 2005 13:43 · Личное сообщение · #14 RideX пишет: Может быть адрес экспортируемой из DLL ф-ции? :-D да ладно??? а я думал это рандомное число  понятно теперь почему не работало....
спасибо научил
----- [nice coder and reverser] |
|
|
Создано: 18 сентября 2005 13:55 · Личное сообщение · #15 Hellspawn пишет: ты сначала найди эту проверку в коде А что искать-то? Ты ведь сам пишешь Hellspawn пишет: OLLYDBG.EXE, 1 117 696 байт, ollydbg.ini Где-то ты ведь будешь их сверять? На худой случай - от ExitProcess Hellspawn пишет: большенство пользуются ей Ну, не факт. Ринг3 есть ринг3 Hellspawn пишет: против сайса вообше примеров обнаружения немеренно RideX пишет: Хех, IceExt рулит ;) ----- TBR |
|
|
Создано: 18 сентября 2005 14:00 · Личное сообщение · #16 ну обезаружили меня
прям напали на меня... с вашим напором только старфорс исследовать
но пара таких функций доставит непреятностей тем кто юзает olly
прогу чтоль накатать... типа please_runme_with_olly.exe 
там и посмотрим как это все найдется =) ----- [nice coder and reverser] |
|
|
Создано: 18 сентября 2005 14:04 · Личное сообщение · #17 Hellspawn пишет: спасибо научил Не за что, сам попробуй ;)
program test;
uses
Windows, SysUtils;
var
_eax, _ebx: DWORD;
begin
_eax := LoadLibrary('kernel32.dll');
_ebx := DWORD(GetProcAddress(_eax, 'ExitProcess'));
MessageBox(0, PChar('eax: ' + IntToHex(_eax, 8) +
'; ebx: ' + IntToHex(_ebx, 8)), 'Info', MB_OK);
end.
|
|
|
Создано: 18 сентября 2005 14:05 · Личное сообщение · #18 Hellspawn пишет: XP логично предположить, что адресса будут другие в XP и редиректа не будет, это вроде только под 9x и Me, а описано это было в одном буржуйском туторе примерно полтора года назад и исходничек прилогался ;) Hellspawn пишет: прогу чтоль накатать... типа please_runme_with_olly.exe ну ты лучше сразу прот пиши, а там уж посмотрим ;) |
|
|
Создано: 18 сентября 2005 14:08 · Личное сообщение · #19 Mario555 пишет: ну ты лучше сразу прот пиши, а там уж посмотрим ;) заняться мне больше не чем
нее учеба на первом месте... потом девушки.. а потом уже крекинг и кодинг... да и лень как обычно... а прогу ожет накатаю.. на лекциях постановку задачи набросаю
я ток и понял что в NT это пахать не будет... спасиб
----- [nice coder and reverser] |
|
|
Создано: 20 сентября 2005 13:25 · Личное сообщение · #20 Hellspawn пишет: ну почему же банально?? =) а если это все хорошо спрятать.... то очень даже.. смотря еще как реализовать... ну не знаю.. новечкам будет полезно навички прям днями и начами ищут олю да =)) |
|
|
Создано: 20 сентября 2005 14:13 · Личное сообщение · #21 Hellspawn Тебе не приходила в голову мысль что OllyDbg не является специализированной кракерской тулзой и ее наличие на диске не должно являться тем критерием по которому нужно делать те или иные выводы о владельце? |
|
|
Создано: 21 сентября 2005 01:34 · Личное сообщение · #22 ИМХО противодействовать можно факту отладки конкретного приложения, а противодействовать факту наличия конкретного отладчика, который стал програмисту занозой в заднице это глупость. Всегда можно найти альтернативный отладчик, а вот народу это не понравится. ----- Research is my purpose |
|
eXeL@B —› Основной форум —› Обнаружение OllyDbg |
Для печати