| Сейчас на форуме: ==DJ==[ZLO], Dart Raiden, Alf (+6 невидимых) |
 |
eXeL@B —› Основной форум —› Hide Debugger 1.2 |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 04 сентября 2004 22:12 · Личное сообщение · #1 Ну вот я наконец его доделал 
Требуется протестировать в 2k(sp4), XP(SP2) и 2k3. Чуть позже он появится на wasm(когда info оформлю), а пока жду, какие будут комментарии.. Кто не поленится протестировать то обращайте внимание на лог Olly, если будут ошибки то это будет отображено в логе красным цветом.  |
|
|
Создано: 04 сентября 2004 22:13 · Личное сообщение · #2 |
|
|
Создано: 05 сентября 2004 01:32 · Личное сообщение · #3 Ну ничего, Арма и Аспр не жалуются... |
|
|
Создано: 05 сентября 2004 02:04 · Личное сообщение · #4 Asterix Спасибо большое, потестируем! |
|
|
Создано: 05 сентября 2004 03:25 · Личное сообщение · #5 усе отлично 
|
|
|
Создано: 05 сентября 2004 04:52 · Личное сообщение · #6 Asterix пишет: Ну вот я наконец его доделал Молодец! Отлично! Потестирую ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 05 сентября 2004 06:37 · Личное сообщение · #7 XaErO пишет: Арма и Аспр не жалуются... они и раньше не сильно жаловались... Вот SoftDefender (aka SDProtector) например аж 5 имён классов окон олли не любил, и активмарк'у тоже что-то в олли очень не нравилось... Приду домой - потестю на них. ЗЫ не качается почему-то у меня этот аттач 
|
|
|
Создано: 05 сентября 2004 08:30 · Личное сообщение · #8 Лучше использовать эту версию т.к. у нее более корректный алгоритм, добавлены проверки и функция записи в лог ошибок. Mario555 > ЗЫ не качается почему-то у меня этот аттач Попробуй взять по этой ссылке: www.wasm.ru/forum/files/_1368105966__HideDebugger12.rar > аж 5 имён классов окон олли не любил Класс окна сменить в рантайме не просто, проще пропатчить сам ollydbg.exe Зато pulya.exe теперь запускается
|
|
|
Создано: 05 сентября 2004 11:02 · Личное сообщение · #9 Asterix пишет: Класс окна сменить в рантайме не просто, проще пропатчить сам ollydbg.exe так и делал
Asterix пишет: pulya.exe теперь запускается проще переименовать ollydbg.exe ;) ps а файл всё-равно не качается... видно этот комп просто глючный... |
|
|
Создано: 05 сентября 2004 12:49 · Личное сообщение · #10 XaErO пишет: Ну ничего, Арма и Аспр не жалуются... ну я по непонятной причине вообще сабж не юзаю, потому что есть у меня IsDebuggerPresent Hider - арма и аспр до сих пор не жалуются, самых свежих версий. Asterix пишет: Ну вот я наконец его доделал а что именно? ты прикрывал какие-то новые способы обнаружения ольки? |
|
|
Создано: 06 сентября 2004 19:06 · Личное сообщение · #11 Скачал. Вечером потестю на Вынь2кСП4 |
|
|
Создано: 09 сентября 2004 17:44 · Личное сообщение · #12 Mario555 > Вот SoftDefender (aka SDProtector) например аж 5 имён классов окон олли не любил Ты определил как он это делает, т.е. класс окна определяет? |
|
|
Создано: 10 сентября 2004 14:09 · Личное сообщение · #13 не, даже не пробовал определить... там очень злобный антитрейс и поэтому по коду протектора особо не разгуляешься
но наверно там используется какое-нить EnumWindow, причём работает это в отдельном треде... |
|
|
Создано: 10 сентября 2004 15:29 · Личное сообщение · #14 Mario555 > но наверно там используется какое-нить EnumWindow Я пробовал, бряки на EnumWindows и FindWindow (A/W) и др. ничего не дали.. |
|
|
Создано: 10 сентября 2004 15:32 · Личное сообщение · #15 а оно у тебя под олей запускается чтоли ? |
|
|
Создано: 10 сентября 2004 15:55 · Личное сообщение · #16 > а оно у тебя под олей запускается чтоли ? А, ты хочешь сказать что протектор просто раньше находил Olly используя антитрассировочные трюки? Ну тогда бессмысленно пытаться защититься от поиска окошек раз используется антитрассировка.. |
|
|
Создано: 10 сентября 2004 16:41 · Личное сообщение · #17 одно радует - эта хреновина файлы нормально паковать не умеет... у меня ни один после обработки SDProtector'ом не запустился... |
|
|
Создано: 12 сентября 2004 07:12 · Личное сообщение · #18 Прожка jv16 PowerTools кричит, что находится под отладкой. Качать с www.macecraft.com |
|
|
Создано: 12 сентября 2004 10:53 · Личное сообщение · #19 да и SDProtector тоже
|
|
|
Создано: 12 сентября 2004 11:51 · Личное сообщение · #20 WELL Если прога использует антитрассировочные приёмы то фиг чего там сделаешь в Olly и плагин не поможет. |
|
|
Создано: 12 сентября 2004 12:42 · Личное сообщение · #21 Кстати, вот код, который прибивает Olly, и я пока не придумал как защититься, кроме как пропатчить exe'шник. format PE GUI 4.0 entry start include '%fasminc%\win32a.inc' section '.code' code readable writeable executable align 4 start: invoke FindWindow, ClassName, NULL test eax, eax jz @F invoke PostMessage, eax, WM_CLOSE, 0, 0 @@: invoke ExitProcess, 0 section '.data' data readable writeable ClassName db 'OLLYDBG',0 section '.idata' import data readable library kernel32,'KERNEL32.DLL',\ user32,'USER32.DLL' include '%fasminc%\APIA\KERNEL32.INC' include '%fasminc%\APIA\USER32.INC' |
|
|
Создано: 12 сентября 2004 15:43 · Личное сообщение · #22 WELL Ты её трейсил? Когда я её смотрел (около года назад вроде) там стояла обработка времяни выполнения кода. |
|
|
Создано: 12 сентября 2004 15:47 · Личное сообщение · #23 Asterix Единственное что пришло в голову, так это перехватить API и по фильтрить её выход |
|
|
Создано: 12 сентября 2004 16:07 · Личное сообщение · #24 RU_Ban0K Да, это можно, но мне почему-то кажется что класс окна можно найти и другими способами, т.е. возможно через другие функции, native например.. |
|
|
Создано: 13 сентября 2004 08:00 · Личное сообщение · #25 Чтото не помню чтобы натив на user распростронялся... Вроде нет такого, или я не прав? |
|
|
Создано: 13 сентября 2004 09:01 · Личное сообщение · #26 Asterix пишет: кроме как пропатчить exe'шник. я вот ольку пропатчил в ilya.exe и плагины все которые мне нужны...пока не жалуюсь ни на что |
|
|
Создано: 13 сентября 2004 09:58 · Личное сообщение · #27 Короче да. Там в натуре проверка трэйса. Так что плагин рулит (по мере сил)
|
|
|
Создано: 13 сентября 2004 10:02 · Личное сообщение · #28 ilya > и плагины все которые мне нужны...пока не жалуюсь ни на что А что должны что-ли? ;) Приведённый выше код прибьёт твою Ольку, вместе со всеми плагинами, если конечно ты не пропатчил вдобавок класс окна, ну это не сложно, нужно только заглянуть в дизассемблер ;) |
|
|
Создано: 13 сентября 2004 10:29 · Поправил: ilya · Личное сообщение · #29 имя процесса: ilya.exe имя класса окна: ilyaDBG текст окна: ilyaDbg - [CPU] а плагины я патчил чтоб они принимали файло ilya.exe с такой конфигурацией программам её ни найти |
|
|
Создано: 13 сентября 2004 13:14 · Личное сообщение · #30 ilya Давненько хотел крякми написать по опредлению ольки, там есть с 10 методов. Но сейчас меня ещё один осенил, озвучивать его я не буду, вот кто крякми будет ломать увидит ;) Мой метод обнаружения перечеркивает все попытки смены имен окон, назв. файла и т.п. Вообщем постараюсь на выходных состряпать. ----- Подписи - ЗЛО! Нужно убирать! |
| . 1 . 2 . >> |
|
eXeL@B —› Основной форум —› Hide Debugger 1.2 |
Для печати