Собственно меня побудило написать этот плагин то, что на моем компе перестала запускаться Фемида 1.0.0.8. А соответственно вместе с ней и OllyICE. Вобщем этот плагин во-первых помогает перекрыть доступ к отладчику (почти как Фемида с драйвером), а во-вторых помогает скрыть сам процесс отладчика.

Для установки необходимо файл HideOlly.dll переписать в папку с плагинами, а HideOlly.sys в папку с самим отладчиком.

Работает только в Windows 2000 и XP.

www11.rapidupload.com/d.php?file=dl&filepath=25085

| Сообщение посчитали полезным:

А какие фишки будут в новой версии?

| Сообщение посчитали полезным:

Во-первых - это дамп процесса с помощью драйвера.
Во-вторых - обнаружение скрытых процессов, а также их дамп, и если у меня будет время, то и их отладка.
И в-третьих - исправлено определенное кол-во багов.

Возможно еще сделаю поддержку Win2003

| Сообщение посчитали полезным:

AdOLF_04 пишет:
и их отладка.

А отладку ринг0-кода сможешь добавить,хоть какую,но отладку?

| Сообщение посчитали полезным:

И ещё,надо бы реализовать поддержку обхода Invalid_Hande_Exception(это я про xADT,просто она только этим способом детектит Олю,а lord_Phoenix уже описал где-то в топике метод обхода)
Будет такое?

| Сообщение посчитали полезным:

XQuader пишет:
lord_Phoenix уже описал где-то в топике метод обхода

В каком?

| Сообщение посчитали полезным:

NIKOLA пишет:
В каком?
в этом же ;)
http://www.exelab.ru/f/action=vthread&forum=2&topic=5992&p age=1

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

XQuader пишет:
А отладку ринг0-кода сможешь добавить,хоть какую,но отладку?

А смысл?

| Сообщение посчитали полезным:

AdOLF_04
А смысл?
ну допустим ковыряться в недрах SafeDisk`а...

| Сообщение посчитали полезным:

Если ты имеешь ввиду что-то вроде SoftIce, то это будет весьма проблематично сделать, потому что он даже свой видео-драйвер использует.

| Сообщение посчитали полезным:

ну допустим ковырятся придётся в коде старого-форса(StarForce) или xprot
Ну не совсем софт-айс , что-нить придумай

| Сообщение посчитали полезным:

Если полный аналог сайса писать, то, конечно, нужны свои видел дрова и прочий гемор. А чтоб можно было отлаживать в ринг0 только 1 поток, то вполне можно обойтись и без дров и несложно пишется.

| Сообщение посчитали полезным:

Аналог сайса нам не нужен(да и не думаю что за пару мин аналог можно написать )
Archer пишет:
А чтоб можно было отлаживать в ринг0 только 1 поток, то вполне можно обойтись и без дров и несложно пишется.

Хотя бы это реализовать и то ГУД!

| Сообщение посчитали полезным:

Archer пишет:
А чтоб можно было отлаживать в ринг0 только 1 поток, то вполне можно обойтись и без дров и несложно пишется.
Что несложно, это конечно хорошо, но как ты будешь обрабатывать такие моменты:
1) Поток тупо закрывает прерывания или поднимает irql выше dispatch.
2) Идет отладка перехватываемой кем-либо функции, и исполнение может вобще пойти в контексте отладчика.
3) Поток входит внутрь блокировки связаной с другими критическими системными потоками (это происходит практически при любом api вызове не возвращающем немедленного результата).

И самое главное обьясни, как ты все это собираешся обрабатывать без драйвера.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem
Ну да, косяки свои вполне возможны в каких-то особо запущенных случаях. А насчёт ненужных дров-имел в виду видео дрова, обычные то, понятно, понадобятся.

| Сообщение посчитали полезным:

Archer пишет:
Ну да, косяки свои вполне возможны в каких-то особо запущенных случаях
Вышеописаные случаи это как раз то, что происходит постоянно в процессе отладки ринг0 кода. Это типичные случаи. А особо зупущеные - это когда прот хукает отладочные инты и устраивает на них например самотрассировку, попутно перебазируя idt на каждом шагу. Вот если сможешь отлаживать такое, то честь и почет тебе.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ну вот собственно и новая версия. Я правда пока еще не все реализовал. Дамп процесса пока находится на стадии тестирования, но я думаю что скоро и его доделаю. А так собственно все сделал, в частности нахождение скрытых процессов, их отладка и закрытие. Только учтите, что отладка СКРЫТЫХ, а не защищенных процессов. Проверить работу можно так: с помощью HideToolz от Ms-Rem скрываете любой процесс(только не забудьте в опциях снять галочку Protect processes), запускаете плагин и в конце списка должен быть ваш скрытый процесс, пробуете подключиться к нему или закрыть. Все.

www10.rapidupload.com/d.php?file=dl&filepath=33452 - Плагин + драйвер
www10.rapidupload.com/d.php?file=dl&filepath=33453 - KillOlly

| Сообщение посчитали полезным:

AdOLF_04
Спасибо! Потестим ;)

| Сообщение посчитали полезным:

Кстати, я хочу сделать такую вещь, как отладка с использованием не 3-го, а например 90 прерывания. То есть таким образом можно отлаживать и Фемиду с драйвером и StarForce. Что думаете по этому поводу?

| Сообщение посчитали полезным:

AdOLF_04
Плагин для ICE? Делай потестим!

| Сообщение посчитали полезным:

AdOLF_04 пишет:
Кстати, я хочу сделать такую вещь, как отладка с использованием не 3-го, а например 90 прерывания. То есть таким образом можно отлаживать и Фемиду с драйвером и StarForce. Что думаете по этому поводу?
Это было бы мега хорошо, сейчас народ весь почти перешёл на олю, остались на айсе только те, кто занимается стариком и т.д. Если выйдет м под олю 0-ое кольцо, про айс забудт. Я только за. Жду недождусь твоего творения!

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin пишет:
Если выйдет м под олю 0-ое кольцо, про айс забудт.
никто ничего не забудет... для ольки такого никогда не сделают.. слишком много надо учесть.. а много просто нереально сделать
AdOLF_04 пишет:
Кстати, я хочу сделать такую вещь, как отладка с использованием не 3-го, а например 90 прерывания.
хм, ну попробуй.. некторые места старфорца мона трассить юзая не инт3 бряки(и не хардваре)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
хм, ну попробуй.. некторые места старфорца мона трассить юзая не инт3 бряки(и не хардваре)
А юзая опцию в Оли Адвансед - Flexible BreakPoints (не в коем случае не чмакать F8 ,F7 и им подобные,а всё через F2 )

| Сообщение посчитали полезным:

XQuader пишет:
А юзая опцию в Оли Адвансед - Flexible BreakPoints (не в коем случае не чмакать F8 ,F7 и им подобные,а всё через F2 )

Но в данном случае все равно используется int3.

| Сообщение посчитали полезным:

Походу не int3,я проверял с этой опцией и без.без - БСОД,с - всё намано и оп код с опцией - $FB а не $СС.
Во как.

| Сообщение посчитали полезным:

AdOLF_04 пишет:
Но в данном случае все равно используется int3.
не инт3, а исключения... PolyMorphic breakpoints еще мона юзать..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Поставил плаг. За сегодняшний день комп раза 3 ребутнулся при закрытии ольки. Это только уменя?

| Сообщение посчитали полезным:

У мну после плага олька закрывается,но при повторном запуске ..... тоже всё нормально , пока не наведу на панель "пуск".А как тока навожу - BSOD!

| Сообщение посчитали полезным:

Все сообщения о багах и предложения просьба писать на email: adolf04@gmail.com

| Сообщение посчитали полезным:

Переложите пожалста последнии версии плуга+драйвер+килялкО.
WBR.

| Сообщение посчитали полезным:

у меня не работает плагин (выдается сообщение The procedure * could not be located in the DLL OLLYDBG.EXE), а killolly вообще начинает жрать виртуальную память жестоко (драйвер ещё не установлен был и вылезло окошко, мол дров не установлен и далее началось кушанье)

ps. действие применялось для execryptor_olly из тутора

| Сообщение посчитали полезным: