 |
eXeL@B —› Основной форум —› Тётя Оля Терминатор,или посмотрим на "броню" Olly Debugger'a |
| << . 1 . 2 . 3 . 4 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 06 июня 2006 11:20 · Личное сообщение · #1 Многие щас пользуются Олькой и иногда встеречаются проги,которые засекают её,тогда прибегают к плагинам типа Hide Olly и т.п,но на сколько они эффективны?Предлагаю пару тестов по определению скрытности Оли(самый тяжёлый по весу{TestOutputDebugString} в архив тестов не вошёл).У меня 2 оли: 1.Без плгинов засечена всеми тестами 2.Таже но с плагинами - засекается при помощи COOL FOR XP. 3.Вторая Оля(Изменённая,с парой плагинов) - Защищена от всех тестов!!!  84b1_06.06.2006_CRACKLAB.rU.tgz - TEST.rar
 |
|
|
Создано: 08 июня 2006 18:52 · Личное сообщение · #2 Посмотрел hacnho OllyICE...Из всех детекторов, приведённых в начале этого топика, один Anti-OllyDbg_2.exe не запустился. Остальные активность отладчика не обнаружили. А вот под shadow сборкой с кучей плагинов ниодин из детекторов не обнаружил оллю. |
|
|
Создано: 08 июня 2006 19:05 · Личное сообщение · #3 Hellspawn Thanx. мне понравилось, много полезного содержит. |
|
|
Создано: 08 июня 2006 19:10 · Личное сообщение · #4 Сборка от hachno класная штука, я правда ее редко использую! А домашний сайт вроде hxxp://www.tinicat.de/hacnho/. Там еще по арме много всего! 
|
|
|
Создано: 09 июня 2006 06:48 · Личное сообщение · #5 maikkri5ki пишет: А домашний сайт вроде hxxp://www.tinicat.de/hacnho/ Not Found |
|
|
Создано: 09 июня 2006 07:55 · Личное сообщение · #6 Странно, значит закрыли! 
Я на этот сайт совсем недавно заходил, он еще работал. |
|
|
Создано: 09 июня 2006 16:37 · Личное сообщение · #7 pavka спасибо! ----- Yann Tiersen best and do not fuck |
|
|
Создано: 10 июня 2006 16:43 · Личное сообщение · #8 pavka пишет: На стрипере то же интересная фигня висит похоже Ловебум сам забацал На этом PE Spin навешан.А нас стрипере WNspack,похоже того же автора,фигня поинтересней будет. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 10 июня 2006 17:16 · Личное сообщение · #9 PE Spin ? Х/з PEiD молчит как партизан! Че распаковал догадайся ! |
|
|
Создано: 10 июня 2006 17:34 · Поправил: Hellspawn · Личное сообщение · #10 pavka пишет: PE Spin ? Х/з PEiD молчит как партизан! Че распаковал догадайся ! да он самый... тока хз какая версия, возможно приватная (<1.304)... а на другом файле пе-ид говорит упх, но там такого нету... пе-армор возможно ----- [nice coder and reverser] |
|
|
Создано: 10 июня 2006 18:26 · Личное сообщение · #11 Там все точно так же только косит под УПХ и больше антиотладки если первый PE Spin то и второй то же только модифицированый какой то! |
|
|
Создано: 10 июня 2006 18:30 · Поправил: Hellspawn · Личное сообщение · #12 нет =) ты не прав, в одном пе-спин, во втором пе-армор, запакуй сам и увидишь... (хотя бы импорт посмотри) ----- [nice coder and reverser] |
|
|
Создано: 10 июня 2006 18:42 · Личное сообщение · #13 пе-армор китайский у меня не пакует падет ! |
|
|
Создано: 10 июня 2006 18:48 · Поправил: Hellspawn · Личное сообщение · #14 pavka пишет: пе-армор китайский у меня не пакует падет ! я кстати им еле запаковал +) всё по китайски... на обумчик галки ставил... хотя проги все равно не запускаются, но для исследования катят... ----- [nice coder and reverser] |
|
|
Создано: 10 июня 2006 19:00 · Личное сообщение · #15 Хотя может ты и прав! OEP и спертые байты херня находятся быстро Иат понятно OEP: 00001000 IATRVA: 00005000 IATSize: 0000010C Не соображу как с Kernel и User разобратся! |
|
|
Создано: 10 июня 2006 19:58 · Личное сообщение · #16 Ну для PE Spin лекарство есть.А вот про пе-армор первый раз слышу.Хотя RDG Packer Detector детектит именно его.Вот как до OEP добраться?Ни апаратный,ни хардваре не прокатуют. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 10 июня 2006 19:59 · Личное сообщение · #17 Ну для PE Spin лекарство есть.А вот про пе-армор первый раз слышу.Хотя RDG Packer Detector детектит именно его.Вот как до OEP добраться?Ни апаратный,ни хардваре не прокатуют. 36dd_10.06.2006_CRACKLAB.rU.tgz - un PE Spin.rar
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 10 июня 2006 20:47 · Личное сообщение · #18 Bronco В RAR-статьях про ПЕ-Армор статейка лежит. |
|
|
Создано: 10 июня 2006 20:51 · Личное сообщение · #19 Archer Там оказался не ПЕ-Армор а Excalibur1.03
Этот посерьезней! |
|
|
Создано: 10 июня 2006 21:01 · Личное сообщение · #20 Bronco пишет: А вот про пе-армор первый раз слышу по-моему PE-Armor теперь называется EncryptPE (триал - www.encryptpe.com/setup.rar ) - китайский коммерческий прот, на unpack.cn недавно ломаную раздавали... ----- in search of sunrise |
|
|
Создано: 11 июня 2006 02:29 · Личное сообщение · #21 pavka пишет: Этот посерьезней Peid не врёт OEP = 0040170B,если приатачиться то часть ИАТ есть.Как остальную часть востановить пока не знаю. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 11 июня 2006 08:04 · Личное сообщение · #22 Bronco OEP 401000 00401000 > 6A 00 push 0 00401002 E8 850A0000 call <jmp.&KERNEL32.GetModuleHandleA> 00401007 A3 FC634000 mov dword ptr ds:[4063FC],eax 0040100C E8 3B0B0000 call <jmp.&comctl32.InitCommonControls> 00401011 6A 00 push 0 00401013 68 AA184000 push UWNspack.004018AA 00401018 6A 00 push 0 0040101A 6A 65 push 65 0040101C FF35 FC634000 push dword ptr ds:[4063FC] 00401022 E8 FB0A0000 call UWNspack.00401B22 00401027 6A 00 push 0 00401029 E8 460A0000 call UWNspack.00401A74 |
|
|
Создано: 11 июня 2006 09:54 · Личное сообщение · #23 Bronco пишет: Ну для PE Spin лекарство есть Только криво работает, он конечно всё распаковывает как надо, а вот CLEAR макросы не обрабатывает, а их там штук 50. Правда всё это простым инжектом можно на место повтыкать, там даже мусора нет. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 11 июня 2006 09:55 · Личное сообщение · #24 pavka пишет: Там оказался не ПЕ-Армор а Excalibur1.03 Этот посерьезней! странно, откуда такая инфа, помоуме там всё таки армор... снаала фэйк сигна, потом джамп на код прота... =) по крайней мере я запаковал пару файлов, ну почти 1 в 1 получилось сходство... ----- [nice coder and reverser] |
|
|
Создано: 11 июня 2006 11:12 · Личное сообщение · #25 Hellspawn Я не про стрипер а про статью! |
|
|
Создано: 11 июня 2006 11:56 · Личное сообщение · #26 гы, сорри... так ты нашёл литературу по поводу пе-армор? интересно бы было почитать.. ----- [nice coder and reverser] |
|
|
Создано: 11 июня 2006 12:08 · Личное сообщение · #27 Hellspawn зайди сюда http://www.exelab.ru/f/action=vthread&forum=5&topic=4180 не обращай внимания, что речь идет о yoda протекторе на самом деле это армор и есть. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 11 июня 2006 12:52 · Личное сообщение · #28 Hellspawn Не не нашел! С импортом косяк Kernel и User не могу чет ни чего придумать ! Руками стремно ! Попробовал плагин PE_Kill ни фига не хочет! |
|
|
Создано: 11 июня 2006 13:24 · Личное сообщение · #29 Похоже он просто хорит 003B03E0 FF35 FC033B00 push dword ptr ds:[3B03FC] 003B03E6 813424 29ACF3EF xor dword ptr ss:[esp],EFF3AC29 003B03ED C3 retn Return to 7C802442 (kernel32.Sleep) |
|
|
Создано: 11 июня 2006 18:02 · Личное сообщение · #30 Да сделать плуг для импрека пожалуй самый простой выход! |
|
|
Создано: 12 июня 2006 00:15 · Личное сообщение · #31 ну ничетак прот на этом стрипере. прикольна. 
но ламаецо  e23e_12.06.2006_CRACKLAB.rU.tgz - VprotectStripper.rar
|
| << . 1 . 2 . 3 . 4 . >> |
|
eXeL@B —› Основной форум —› Тётя Оля Терминатор,или посмотрим на "броню" Olly Debugger'a |
Для печати