 |
eXeL@B —› Софт, инструменты —› IDA Stealth Plugin |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 05 июля 2008 04:51 · Личное сообщение · #1 IDA Stealth is a plugin which aims to hide the IDA debugger from most common anti-debugging techniques. The plugin is composed of two files, the plugin itself and a dll which is injected into the debuggee as soon as the debugger attaches to the process. The injected dll is actually responsible for implementing most of the stealth techniques either by hooking syscalls or by patching some flags in the remote process. newgre.net/idastealth  |
|
|
Создано: 20 декабря 2009 02:07 · Личное сообщение · #2 narfzort Hi! Thanx for your nice plugin! And thanx for your attention. IDA Pro WinCE debugger changes console string in the caption, like on screenshot. Source+bin+screnshot in the attached archive.  514b_19.12.2009_CRACKLAB.rU.tgz - AntiIDAProject.7z
|
|
|
Создано: 20 декабря 2009 15:26 · Личное сообщение · #3 I can confirm that this also applies to the standard local Win32 debugger. At least on Win7 I can observe the same effect. Is this technique used "in the wild" already or did you discover it yourself? Do you think it's worth adding it to my plugin? |
|
|
Создано: 20 декабря 2009 16:24 · Поправил: Модератор · Личное сообщение · #4 narfzort пишет: Is this technique used "in the wild" already or did you discover it yourself? I discovered it at December 2008 and publicized on this forum. IDA is not popular as debugger, but this method is well-known among some protectors authors. So, someday it can appears at some apps and we should be ready. Here is old topic (on russian): https://cracklab.ru/f/action=vthread&forum=2&topic=13348 |
|
|
Создано: 20 июня 2010 13:22 · Личное сообщение · #5 Bugfix: Incorrect handling of ProcessDebugObjectHandle in hook of NtQueryinformationProcess in stealth driver И как этим воспользоваться? В смысле что надо включить, чтобы ProcessDebugObjectHandle занулялся? Смотрел код хука в DLL, там ничего на эту тему, только DebugPort. Пробовал зунялять параметр в стэке, или IDA меня не понимает, или я что-то неправильно делаю, но отладчик палится. Добавлено: лично для себя проблему решил по методу Bronco - патчим параметр отвечающий за буфер на ноль и отпускаем управление в NtQueryinformationProcess. |
|
|
Создано: 21 июня 2010 09:16 · Личное сообщение · #6 int плагин идет вместе с срц поиск по слову NtQueryInformationProcessHook внутри.. |
|
|
Создано: 21 июня 2010 23:20 · Личное сообщение · #7 sendersu да, я в курсе, обновил для себя либу, надеюсь, автор когда-нибудь и сам добавит поддержку этих двух параметров. |
|
|
Создано: 09 июля 2010 07:29 · Личное сообщение · #8 07/09/2010 - v1.3 чего нового: Added: Added support for the ProcessDebugObjectHandle as well as the ProcessDebugFlags parameters to NtQueryInformationProcess hooks (stealth driver and HideDebugger.dll) Added: The debugger can be automatically halted in the top-level SEH handler, or when a new context has been applied by the OS after returning from a SEH handler Added: Profile for VMProtect has been added Some minor fixes and improvements ктото верит насчет ВМП? 
|
|
|
Создано: 09 июля 2010 08:16 · Личное сообщение · #9 sendersu пишет: ктото верит насчет ВМП такое уже было до офф релиза ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 09 июля 2010 09:45 · Личное сообщение · #10 А чего там верить? Для поддержки полного "спасения" от вмпротекта не хватало только "прикрыть" NtQueryInformationProcess с параметром ProcessDebugObjectHandle. P.S. Дождитесь уже статьи. 
|
|
|
Создано: 09 июля 2010 22:34 · Поправил: sendersu · Личное сообщение · #11 а автор грит насчет ProcessDebugFlags для впм... вобчем полезно и интересно его последний пост есть правда косяк в 1.3 - ето чекбокс Disable NttermintateProcess+Thread вмп дурит нормально, скажем так в ольге я етого не добился (пока еще) upd: для офигевания заходим в Roadmap обнова от автора 09/27/2010 - v1.3.2 * Bugfix: SEH monitoring was not working with IDA versions < v5.7 * Bugfix: The debug registers could be overwritten by a SEH handler if the respective thread never called SetThreadContext before the SEH handler was invoked |
|
|
Создано: 25 февраля 2012 15:53 · Личное сообщение · #12 06/28/2011 - v1.3.3 Bugfix: The plugin GUI could crash on Win7 X64 systems Bugfix: If any of the SEH debugging support features was used an "internal error 30191" would be raised in IDA as soon as the exception occurred in the debuggee Bugfix: Injection of the stealth dll failed if the size of the import directory was (intentionally) set to a wrong value Improved: Added profile for the newest version of VMProtect (v2.09) |
|
|
Создано: 21 июля 2012 01:42 · Личное сообщение · #13 Есть кто зарегистрированный на негре (http://newgre.net)? Можете там в форуме запрос оставить? Please add support to prevent IDA detection via CreateToolhelp32 / Process* / modules enumeration - ida[64].wll. Правда хз как это сделать. Разве что ошибку выдавать на CreateToolhelp32, либо сплайсить ProcessFirst/ProcessNext и если ida - пропускать на следующий. ----- старый пень |
|
|
Создано: 21 июля 2012 01:49 · Личное сообщение · #14 а почему самому не пофиксить? сорусы ж доступны |
| << . 1 . 2 . |
|
eXeL@B —› Софт, инструменты —› IDA Stealth Plugin |
Для печати