В общем, решил я сделать публичной одну тулзу (поскольку она всеравно особой ценности не представляет).

Все наверно помнят, что раньше у меня была идея создать плугин для скрытия OllyDbg, но не хватило ни времени, ни желания... Теперь я к этой идее вернулся, но только хочу сделать универсальную тулзу, для скрытия всего чего угодно.
Уже написан драйвер скрывающий процесс и все его следы от ЛЮБЫХ возможных юзермодных методов обнаружения. От аналогов отличается качеством написания, и количетвом учетнных методов обнаружения.

З.Ы. многие наверно скажут что боян, но мне пофиг. Никого юзать не заставляю.

2d7a_04.10.2006_CRACKLAB.rU.tgz - HideToolz.exe

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem, хотелось бы видеть еще кнопочку "выгрузить драйвер"... Было бы весьма полезно...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Ms-Rem пишет:
версия 0.9

0,2, вроде?

KingSise пишет:
хотелось бы видеть еще кнопочку "выгрузить драйвер"

Писали же, что затруднительно.

| Сообщение посчитали полезным:

Уже написан драйвер скрывающий процесс и все его следы от ЛЮБЫХ возможных юзермодных методов обнаружения.

Смотри аттач.
Автор программы: UsAr

На 0.2 тестил, палит.

899e_08.10.2006_CRACKLAB.rU.tgz - antidebug.0x01.exe

| Сообщение посчитали полезным:

я так и не понял, работает ли драйвер после перезагрузки компа, т.к. olly не палится теми программами, которые её палят, но палится первым же тестером, например от ARTeam (хотя сразу после запуска драйвера он не находил olly).
в любом случае хотелось бы отдельно функцию выгрузки драйвера, пусть даже отдельным ехе-шником...

| Сообщение посчитали полезным:

BUGOR пишет:
На 0.2 тестил, палит.
Он проверяет наличие parrent process, а не находит сам скрытый процесс. Если ты читал внимательно топик, то наверно видел, что эмуляция родительского процесса в новой версии будет.

Generic пишет:
я так и не понял, работает ли драйвер после перезагрузки компа
Автоматически драйвер не загружается.

Generic пишет:
в любом случае хотелось бы отдельно функцию выгрузки драйвера
Достали уже. Сказано - проблематично сделать. Выгрузка драйвера ставящего хуки всегда чревата бсодами, т.к. системные потоки могут в это время находиться внутри него. В новой версии защита будет отключаема, и выгрузка не понадобиться. Если драйвер приводит к каким-либо глюкам, то прошу об этом написать.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

после скрытия TotalCommander'a он не может зайти в локальную сеть

пишет недоступен диск или сетевой ресурс - после закрытия диалога всётаки выводит окно с вводом логина и пароля но ввод правильного логина\пароля ничего не даёт

| Сообщение посчитали полезным:

DDA пишет:
после скрытия TotalCommander'a
А нахрена его скрывать?

| Сообщение посчитали полезным:

pavka пишет:
А нахрена его скрывать?

да случайно получилось и начались проблемы с сетью

| Сообщение посчитали полезным:

DDA пишет:
да случайно получилось и начались проблемы с сетью

Ну так перезагрузись, драйвер сабжа автоматом не стартует.

| Сообщение посчитали полезным:

Gideon Vi пишет:
Ну так перезагрузись, драйвер сабжа автоматом не стартует

дак это то понятно

просто факт проблемы на лицо

ps а если это проблема маленькая то её смело можно забыть

| Сообщение посчитали полезным:

DDA пишет:
просто факт проблемы на лицо
Ок. Посмотрим.

Новая версия будет уметь сворачиваться в трей, и мне нужна подходящая иконка. Может кто-нибудь подберет или нарисует ее?

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Следующая бета версия готова. Тестируем.

7860_08.10.2006_CRACKLAB.rU.tgz - HideToolz.exe

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem, работает пока без ошибок... Только вот:
1. В списке процессов, при нажатии на hide, процесс не исчезает, так и должно быть?
2. Галочка Auto Start почему-то автоубирается... При выгрузке и затем включении программы, калочка снимается...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
В списке процессов, при нажатии на hide, процесс не исчезает, так и должно быть?
Список отображает все процессы, в том числе и скрытые. В релизной версии будет еще отображаться статус процесса.

KingSise пишет:
2. Галочка Auto Start почему-то автоубирается
Авторан еще не сделан.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Список отображает все процессы, в том числе и скрытые

Олли у меня там не отображается... Точнее отображается, но всего 2...3 секунды (при запуске), затем процесс из списка исчезает...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
Олли у меня там не отображается... Точнее отображается, но всего 2...3 секунды (при запуске), затем процесс из списка исчезает...
У тебя наверно запущены сразу 2 версии драйвера. После перехода на новую версию HideToolz надо перезагрузиться.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Релизная версия готова.

428c_09.10.2006_CRACKLAB.rU.tgz - HideToolz.rar

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem
Ты вообще молодец, столько добра реверсерам делаешь, респект

| Сообщение посчитали полезным:

Хотелось бы дать несколько советов по правильному использованию тулзы, а то достали уже багрепорты происходящие от неумения ее использовать.

Вопрос:
я поставил новую версию, но у меня все работает как-то странно.

Ответ:
При переходе со старой версии на новую, перезагрузка системы обязательна. Иначе могут возникнуть какие угодно глюки, и багрепорты о них не принимаются.
Не допускайте загрузки нескольких копий драйвера HideToolz. Для этого запускать тулзу можно только из постоянной папки, но не из архива. Дело а том, что при первом запуске создается уникальный ключ доступа, и соответсвующий ему бинарник драйвера. Ключ прописывается в ini файле. Без ключа никто не может получить доступ к интерфейсу драйвера, и определить факт его загрузки. Копия запущеная из архива естественно не может ничего знать о уже загруженом драйвере, и загружает еще одну его копию.

Вопрос:
что мешает найти файл HideToolz на диске?
Ответ:
Рекомендуется переименовать файл тулзы и запаковать его чем-нибудь, для исключения обнаружения протекторами по сигнатуре.

Вопрос:
Я использую HideToolz, но программа всеравно не запускается под отладчиком.
Ответ:
HideToolz не предназначен для защиты от приемов специфичных для обнаружения отладчиков, поэтому желательно его использовать вместе с плугинами против антиотладки. Возможно в новых версиях будет защита от антиотладки.

Вопрос:
У меня все как-то криво работает, и вобще аццки глючит.
Ответ:
Первым делом попытайтесь отключать опции защиты до тех пор, пока глюки не прекратятся. Если они не прекратятся (очень странно), то попробуйте отключать антивирусы/фаерволлы и другой софт. Проверьте наличие глюков когда утилита не загружена. В багрепорте обязательно следует описать, как можно баг повторить. Помните - я не могу пофиксить тот баг, который не получается повторить, поэтому описывайте свои действия достаточно подробно.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem Иконку забыл в релизной версии сделать

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Ms-Rem

Извините, если вопрос крайне глупый, но есть ли возможность загрузки драйвера без гуи?
В опциях программы соответсвтующая опция задейстована, но, тем не менее, гуевое окно настройки программы грузится. Как же вызывать автозагрузку драйвера БЕЗ запуска окна натроек в трей?

| Сообщение посчитали полезным:

Сам драйвер автозагрузки не имеет, и должен быть изначально запущен из GUI.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem

Предположительно это сделано только по одной причине? Не переводить утилиту из разряда полезных в разряд опаснейших?

| Сообщение посчитали полезным:

Ну, при автозагрузке драйвера, придется еще хранить его файл на диске (что позволит протам там его найти, ведь нет публичных пакеров для дров). К тому же придется хранить еще файл с опциями в месте доступном драйверу. Усложняется взаимодействие драйвера с gui. Ну и аверы тоже могут в вирусы это записать (если уже не записали). Да и понадобиться это может тому, кто хочет прицепить мой драйвер к своему трояну, а все остальные могут просто поставить гуи в автозагрузку.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem

Буду откровенным. Почти уверен, что многие тайно вздыхают и мечтают о таком варианте:
дефолтно - запуск БЕЗ гуи. По требованию, через ключ (на манер HideToolz.exe -h) - запуск гуи для настройки. Скажем так, для очень разных целей

Если ещё откровеннее. Вы выложили ствол, предварительно скрутив с него свой глушитель и при этом очень мягко всех убеждаете, что громкий выстрел - это следствие полной невозможности ствола работать с каким-либо глушителем.

| Сообщение посчитали полезным:

cracklover
Ты думаешь эта тулза еще не в базах аверов? Ламерье с этого сайта, уже давно сидит и ждет обновления баз своего любимого антивируса.

| Сообщение посчитали полезным:

имхо - лучше запуск без гуи только с определенным ключем. а по дефолту - с гуи.

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

TOR

Дело даже не в этом.
Я рискую слыть для автора замечательной утилиты беспардонным наглецом, получившим банку мёда и лезущим за ложкой, но был показан тако-о-ой заманчивый кусок пирога, а посмаковать удалось лишь малеький сладкий кусочек.

| Сообщение посчитали полезным:

cracklover
Вопрос: зачем нужен запуск драйвера без использования gui? Не вижу в этом никакой необходимости.

TOR пишет:
Ты думаешь эта тулза еще не в базах аверов? Ламерье с этого сайта, уже давно сидит и ждет обновления баз своего любимого антивируса.

Complete scanning result of "HideToolz.exe", received in VirusTotal at 10.09.2006, 21:33:16 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.25 10.09.2006 no virus found
Authentium 4.93.8 10.06.2006 no virus found
Avast 4.7.892.0 10.08.2006 no virus found
AVG 386 10.07.2006 no virus found
BitDefender 7.2 10.09.2006 no virus found
CAT-QuickHeal 8.00 10.07.2006 no virus found
ClamAV devel-20060426 10.09.2006 no virus found
eTrust-InoculateIT 23.73.16 10.07.2006 no virus found
eTrust-Vet 30.3.3123 10.09.2006 no virus found
DrWeb 4.33 10.09.2006 no virus found
Ewido 4.0 10.09.2006 no virus found
Fortinet 2.82.0.0 10.09.2006 no virus found
F-Prot 3.16f 10.09.2006 no virus found
F-Prot4 4.2.1.29 10.06.2006 no virus found
Ikarus 0.2.65.0 10.09.2006 no virus found
Kaspersky 4.0.2.24 10.09.2006 no virus found
McAfee 4869 10.09.2006 New Malware.z
Microsoft 1.1603 10.09.2006 no virus found
NOD32v2 1.1795 10.09.2006 no virus found
Norman 5.80.02 10.09.2006 no virus found
Panda 9.0.0.4 10.09.2006 no virus found
Sophos 4.10.0 10.05.2006 no virus found
TheHacker 6.0.1.094 10.08.2006 no virus found
UNA 1.83 10.09.2006 no virus found
VBA32 3.11.1 10.08.2006 no virus found
VirusBuster 4.3.7:9 10.09.2006 no virus found

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Не факт,что ее уже не анализируют. Да и хваленный КАV, на одну написанную мною програмку, начал ругаться через неделю, после того, как,им ее отправили

| Сообщение посчитали полезным: