IDA Stealth is a plugin which aims to hide the IDA debugger from most common anti-debugging techniques. The plugin is composed of two files, the plugin itself and a dll which is injected into the debuggee as soon as the debugger attaches to the process. The injected dll is actually responsible for implementing most of the stealth techniques either by hooking syscalls or by patching some flags in the remote process.


newgre.net/idastealth

| Сообщение посчитали полезным:

useful, is x64 supported?

| Сообщение посчитали полезным:

Av0id
вряд ли

| Сообщение посчитали полезным:

07/04/2008 - v1.0 Alpha

First alpha release, some features still missing, needs testing
Known Bugs:
Problems when modifying import directory of packed executables (error 0xC000007B)

=) тестерам только , с ошибочками

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Полезно, жаль без исходников...

| Сообщение посчитали полезным:

Довольно активно развивается:

Changelog

07/14/2008 - v1.0 Alpha 4
Bugfix: Injection of stealth dll could fail in some cases (see N-InjectLib)

07/13/2008 - v1.0 Alpha 3
Added: Multiple stealth techniques (OpenProcess, DBG_PRINTEXCEPTION, hardware breakpoint protection, hide IDA process and windows, to name but a few)
Improved: Overall stealth: xADT as well as Extreme Debugger Detector 0.5 are unable to detect an attached debugger (except for RDTSC based tests and scanning the HDD for various tools)
Bugfix: Plugin didn't correctly de-register from debug callback; crashed with newly created databases

07/06/2008 - v1.0 Alpha 2
Bugfix: Injection of stealth dll failed if IMAGE_DIRECTORY_ENTRY_IAT of process was zero, so the plugin didn't work with most packed executables
Bugfix: NtQueryInformationProcess didn't work (CheckRemoteDebuggerPresent was implicitly affected)

07/04/2008 - v1.0 Alpha
First alpha release, some features still missing, needs testing, major bugs
Known Bugs:
Problems when modifying import directory of packed executables (error 0xC000007B)

| Сообщение посчитали полезным:

Ага, еще хорошо бы, чтобы так и остался фриварным, когда пройдет стадия альф и бэт.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

avraam newgre.net/system/files/IDAStealth.rar весит 246.73 KB

| Сообщение посчитали полезным:

Что-то я не понял... IDA ведь дизассемблер. Нафига его скрывать? Или у него встроеный отладчик есть?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
Что-то я не понял... IDA ведь дизассемблер. Нафига его скрывать? Или у него встроеный отладчик есть?
есть и встроенный отладчик, хотя его скрывать я как-то не вижу особого смысла, ибо чаще всего отлаживают не в отладчике ИДЫ.. хотя может какие проты мот и палят ИДУ..

| Сообщение посчитали полезным:

без сорцов

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

kaiZer пишет:
хотя может какие проты мот и палят ИДУ..
IsDebuggerPresent..

| Сообщение посчитали полезным:

Isaev пишет:
Что-то я не понял... IDA ведь дизассемблер. Нафига его скрывать? Или у него встроеный отладчик есть?

Сильно.

kaiZer пишет:
хотя может какие проты мот и палят ИДУ

Палят не иду, палят отладчик.

| Сообщение посчитали полезным:

avraam забанен за кучу бесполезных постов в разных топиках на 3 дня. Пусть посидит почитает форум и привыкнет, как тут пишут.

| Сообщение посчитали полезным:

Вот тут сайтег специальный по таким вещам, ну вернее разработчики плагинов для олки и ИДЫ общаюццо
www.openrce.org

а вот тут топег для этого плагина и сам аффтор
www.openrce.org/forums/posts/858

вот мона помочь челу пока у него есть желание кодить плуг
мну помнит что Archer где-то писал что отдаст в хорошие руки сорсы дровины
так мож ему их и дать? Должно же быть описание кодов для дрова и с буржуйским проблем нет
вроде у него время есть апгрэйдить плуг
ЗЫ: добавит для дрова обертку в плуг и будед ака второй фантомко для ИДЫ %))

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Кому интересно во еще парочка плугов для иды
IdaOlly is a simple plugin allowing IDA to assist OllyDbg. You can join (attached) or leave an olly debugging session any time you want.
In addition to that, you can also start a session by normally running the process in IDA.
lgwm.org/downloads/IdaOlly.zip
IDA Inject Plugin
This plugin allows you to inject dlls into a debugged process, either prior to process creation or when the debugger is attached. The injected dll can then do some fancy stuff inside the debugged process. To realize dll injection before process creation, new import descriptors are added to the image import directory of the debuggee, whereas injection into an already running process is realized via shellcode injection, which in turn loads the dll in question. In either case, a full path to the dll can be supplied, so it is not necessary for the dll to be in the search path.
newgre.net/system/files/IDAInject.rar

| Сообщение посчитали полезным:

Demon666 пишет:
мну помнит что Archer где-то писал что отдаст в хорошие руки сорсы дровины
так мож ему их и дать?

дроф уже отдали в хорошие руки, ведётся даже его доработка и фикс багов, возможно будет релиз в скором времени. а вообще можно конешно у них там вся анти-отладка на длл держиться...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
дроф уже отдали в хорошие руки, ведётся даже его доработка и фикс багов, возможно будет релиз в скором времени

ring3 будет по прежнему на тебе?

| Сообщение посчитали полезным:

Автор пообещал сорцы выложить когда доведет до стабильного состояния!

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Hellspawn пишет:
дроф уже отдали в хорошие руки, ведётся даже его доработка и фикс багов, возможно будет релиз в скором времени
Чет у меня с последним пепом дров бсодит ...

| Сообщение посчитали полезным:

pavka пишет:
Чет у меня с последним пепом дров бсодит ...

там есть баги и от пепа они не зависят

Gideon Vi пишет:
ring3 будет по прежнему на тебе?

пока да.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
там есть баги и от пепа они не зависят
Хм.. может и есть но ни разу не было бсодов а тут чет только на пеп 2.7 стали вылазить

| Сообщение посчитали полезным:

pavka пишет:
Хм.. может и есть но ни разу не было бсодов а тут чет только на пеп 2.7 стали вылазить

баги проявляются при работе с окошками, значит как раз они просекли фишку или
просто так получилось.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

09/15/2008 - v1.0 Beta 3
Bugfix: NtQuerySystemInformation hook possibly returned wrong error code when handling SystemKernelDebuggerInformation query
Bugfix: NtQueryObject hook mistakenly assumed that all object names are zero terminated strings
Improved: NtQueryInformationProcess considers the case that the debuggee itself might act as a debugger (see Tuts4You baord)
Improved: Exception triggered by NtClose is now blocked in the first place (detailed description)
Added: Countermeasures against anti-attach techniques

ebb5_15.09.2008_CRACKLAB.rU.tgz - IDAStealth.rar

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

03/25/2009 - v1.0
Bugfix: API hook of GetThreadContext erroneously returned the complete context even if the flags specified that only the DRs should be returned. This interfered with newer Armadillo versions
Improved: GetTickCount hook now mimics the original API algorithm and allows for controlling the increasing delta
Added: RDTSC emulation driver with optional driver name randomization to increase stealthiness. Read these notes carefully before using this feature
--> Download <-- http://newgre.net/idastealth


0e8d_26.03.2009_CRACKLAB.rU.tgz - IDAStealth.rar

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

В иде под отладчиком с загруженным IDAStealth закрыт доступ только к csrss.exe (в OpenProcessHook проверяет пид на csrss.exe, если он -- last error - ERROR_ACCESS_DENIED, result - NULL) и System Process. В реальности же нельзя открыть svchost.exe, winlogon.exe, spoolsv.exe, etc.

| Сообщение посчитали полезным:

11/24/2009 - v1.1.1
Bugfix: Old RDTSC driver version slipped into the last release. The new one is now included
Improved: To increase overall stealth, the NT Headers are restored to their original state after the dll has been injected
Added: Profile for yoda's Protector added
newgre.net/idastealth
--> Download <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

А автор плага то зря время не сидит:

12/15/2009 - v1.2
Bugfix: RDTSC driver handling; driver service was not deleted in some rare cases
Bugfix: RDTSC driver mode was broken due to recent BSOD fix
Improved: IDAStealth can hide from Themida with ultra anti debugging settings
Added: New stealth driver

Линки те же что и в предыдущем посте

| Сообщение посчитали полезным:

sendersu пишет:
А автор плага то зря время не сидит
Баг-фиксы, но ничего о новых методах антиотладки. На мой метод обнаружения IDA видимо все забили, и разработчики протекторов и авторы плагинов скрытия. (прошу простить за грамматику, правильней было бы "Debugger detected with GetCommandLineW").



| Сообщение посчитали полезным:

Hi,

I'm the author of IDAStealth. Would you mind telling me which anti debugging trick you used to detect IDAStealth?
(sorry for posting in english)

thx

| Сообщение посчитали полезным: