 |
eXeL@B —› Основной форум —› Есть идея написать плугин для OllyDbg |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 09 апреля 2006 02:35 · Личное сообщение · #1 У меня появилось некоторое свободное время (несколько дней), и я решил заняться написанием плугина для OllyDbg. Из планируемых функций будут следующие: 1) Скрытие дебагера от всех мыслимых и немыслимых способов детекта. 2) Отлов попыток обнаружения дебагера, а также функций использующихся для получения hardwareId в привязках к железу. 3) Отлов вызова программой команд cpuid и rdtsc. 4) Отлов попыток снятия hardware breakpoint. Скрытие оли будет осуществляться полностью в ring0, с помощью драйвера, что сделает невозможным обнаружение ее ring3 протекторами. Еще могу сделать возможность отладки ринг0 протов типа фемиды, но хз, надо ли оно кому-нибудь. Короче, высказывайте свои идеи и пожелания по этому поводу здесь (а то может это и нахер никому не надо). З.Ы. киньте кто-нибудь ссылку с описаниями экспортов ollydbg.exe которые юзаются в плугинах. ----- Скажем дружно - нафиг нужно.  |
|
|
Создано: 09 апреля 2006 02:49 · Личное сообщение · #2 Это нужно, да и ринг0 проты не помешают - щас же все туда уходит 
|
|
|
Создано: 09 апреля 2006 03:27 · Личное сообщение · #3 Ms-Rem пишет: З.Ы. киньте кто-нибудь ссылку с описаниями экспортов ollydbg.exe которые юзаются в плугинах. В SDK все есть |
|
|
Создано: 09 апреля 2006 04:35 · Личное сообщение · #4 Ms-Rem пишет: некоторое свободное время (несколько дней) Это мало. Ms-Rem пишет: а то может это и нахер никому не надо нулевое кольцо нужно. |
|
|
Создано: 09 апреля 2006 05:59 · Личное сообщение · #5 Ms-Rem пишет: Еще могу сделать возможность отладки ринг0 протов Т.е. отладка драйверов олькой? ----- have a nice day |
|
|
Создано: 09 апреля 2006 07:14 · Личное сообщение · #6 Да это сильно. Остаётся только с нетерпением ждать хотя бы бета-реализов. |
|
|
Создано: 09 апреля 2006 08:33 · Личное сообщение · #7 Ms-Rem пишет: У меня появилось некоторое свободное время (несколько дней), и я решил заняться написанием плугина для OllyDbg. Из планируемых функций будут следующие: 1) Скрытие дебагера от всех мыслимых и немыслимых способов детекта. 2) Отлов попыток обнаружения дебагера, а также функций использующихся для получения hardwareId в привязках к железу. 3) Отлов вызова программой команд cpuid и rdtsc. 4) Отлов попыток снятия hardware breakpoint. Скрытие оли будет осуществляться полностью в ring0, с помощью драйвера, что сделает невозможным обнаружение ее ring3 протекторами. Еще могу сделать возможность отладки ринг0 протов типа фемиды, но хз, надо ли оно кому-нибудь. Рулез, ждём с нетерпением 
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 09 апреля 2006 08:38 · Личное сообщение · #8 Nimnul пишет: Т.е. отладка драйверов олькой? Нет, я имел в виду отладку ринг3 кода таких протов. Хотя в принципе возможно сделать отладку драйверов, но только с одним большим ограничением - отладка будет возможна только в одном выбраном потоке и только на IRQL=PASSIVE_LEVEL. В виду этого ограничения, эту идею можно считать бесперспективной. Gideon Vi пишет: Это мало. Кому как. Хотелось бы услышать пожелания, какме фичи следует добавить и.т.д. ----- Скажем дружно - нафиг нужно. |
|
|
Создано: 09 апреля 2006 09:58 · Поправил: Smon · Личное сообщение · #9 Пожеланий два - стабильность и совместимость с текущими плагинами (например с OllyAdvanced)
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 09 апреля 2006 10:18 · Личное сообщение · #10 Ms-Rem пишет: Кому как. Хорошо бы. К стати, а что насчёт драйвера? Ведь если будет стандартный драйвер, найдут противоядие... Или будет сорс доступен? |
|
|
Создано: 09 апреля 2006 11:02 · Личное сообщение · #11 Сорс выкладывать не буду. А найти противоядие не вылазия в ринг0 будет не так уж просто. ----- Скажем дружно - нафиг нужно. |
|
|
Создано: 09 апреля 2006 11:39 · Личное сообщение · #12 Не плохо бы было если были отключаемые опции и что бы с Айсом не конфликтовал! |
|
|
Создано: 09 апреля 2006 11:40 · Личное сообщение · #13 Ms-Rem пишет: А найти противоядие не вылазия в ринг0 будет не так уж просто. ну даже банальное CreateFile... хотя если сделайшь как в IceExt то такой проблемы небудет. |
|
|
Создано: 09 апреля 2006 12:05 · Личное сообщение · #14 Ms-Rem А что тут ещё можно пожелать? Ты сам написал всё о чем можно поа мечтать... Единственное пожелание возможность включения/отключения плагина. ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 09 апреля 2006 12:19 · Личное сообщение · #15 Ms-Rem Реализуй без глюков задуманное. Это и так немало... ЗЫ Можно прикрутить нечто вроде протоколирования: типа, программа такая-то произвела попытку такую-то... Вроде, как в оутпосте. Хотя, скорее всего нах это надо... ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 09 апреля 2006 12:22 · Поправил: Hellspawn · Личное сообщение · #16 ValdiS пишет: программа такая-то произвела попытку такую-то... вроде на FrogIce похоже... а вообще, если, Ms-Rem, ты это чудо напишешь...
будет просто шоколадно!  (я и не сомневаюсь, что ты сможешь)
----- [nice coder and reverser] |
|
|
Создано: 09 апреля 2006 12:46 · Личное сообщение · #17 Ms-Rem от всех мыслимых и немыслимых способов детекта - будет ли входить в фичи плагина обход детекта, который использует IDT, SST и т.п....? |
|
|
Создано: 09 апреля 2006 12:55 · Личное сообщение · #18 На самом деле ring-0 нужен только для того чтоб правильно захучить NtOpenProcess, все остальное реализуется в юзермоде, для rdtsc и защиты отладочных регистров есть соответсвующие плагины с сорцами как пожелание - плагин не должен конфликтовать с касперскими, фаерами и прочими |
|
|
Создано: 09 апреля 2006 13:49 · Личное сообщение · #19 s0cpy пишет: будет ли входить в фичи плагина обход детекта, который использует IDT, SST и т.п....? Планируестя защита только от детекта из ринг3. Asterix пишет: rdtsc и защиты отладочных регистров есть соответсвующие плагины с сорцами Хм, плугины отлавливающие rdtsc должны иметь драйвер, так как на DebugApi это сделать невозможно. Можно конечно трассировать программу и отлавливать любые команды, но это уже совсем не то. ----- Скажем дружно - нафиг нужно. |
|
|
Создано: 09 апреля 2006 16:08 · Личное сообщение · #20 Ms-Rem действительно, нужно же как-то сделать rdtsc привилегированной инструкцией %) |
|
|
Создано: 10 апреля 2006 00:05 · Личное сообщение · #21 Ms-Rem ValdiS пишет: программа такая-то произвела попытку такую-то... Вроде, как в оутпосте. Ну допустим не как в оутпосте, но чтоб лог был |
|
|
Создано: 10 апреля 2006 10:54 · Личное сообщение · #22 Ms-Rem Однозначно делай. ----- ~ the Power Of Reversing team ~ |
|
|
Создано: 10 апреля 2006 14:53 · Личное сообщение · #23 Делай. Мы только ЗА! |
|
|
Создано: 10 апреля 2006 15:13 · Личное сообщение · #24 Ms-Rem, тебя ждёт сложная работа, но я верю, что ты справишься! |
|
|
Создано: 10 апреля 2006 18:20 · Личное сообщение · #25 Mifodix пишет: Ms-Rem, тебя ждёт сложная работа, но я верю, что ты справишься! ужс ----- have a nice day |
|
|
Создано: 10 апреля 2006 18:26 · Личное сообщение · #26 Nimnul пишет: Mifodix пишет: Ms-Rem, тебя ждёт сложная работа, но я верю, что ты справишься! ужс Все такие добрые
|
|
|
Создано: 30 апреля 2006 09:04 · Личное сообщение · #27 Как оно? Проэкт в приват не ушёл?
|
|
|
Создано: 01 мая 2006 11:32 · Личное сообщение · #28 Как оно? Проэкт в приват не ушёл? А то все ждут с нетерпением... PS: Непомешает лог всевозможных запросов к HWID. |
|
|
Создано: 01 мая 2006 11:53 · Личное сообщение · #29 читайте первый пост - 9 апреля, появилось несколько дней. нужно полагать свободное время давно закончилось 
----- in search of sunrise |
|
|
Создано: 01 мая 2006 21:38 · Личное сообщение · #30 bloom пишет: читайте первый пост - 9 апреля, появилось несколько дней. нужно полагать свободное время давно закончилось Ну тогда жаль, видно этот плагин в свет и не выйдет, а все так хорошо начиналось..... 
|
| . 1 . 2 . >> |
|
eXeL@B —› Основной форум —› Есть идея написать плугин для OllyDbg |
Для печати