Плагин для отладчика OllyDbg 2. Плагин помогает отлаживать программы с несложной защитой от отладки. Т.к. вторая версия OllyDbg не поддерживает плагины, вам придется внедрить код в отладчик для подгрузки плагина. В архиве уже пропатченый exe версии 2.01 (Alfa 2). При запуске отладчика плагин добавляет меню Options -> OllyExt, где есть скудные (пока) настройки.

* Hide from PEB - обнуляет в PEB флаги BeingDebugged и NtGlobalFlag
* Protect debug registers - скрывает и защищает от модификации отладочные регистры посредством SEH и Get/SetThreadContext

OllyExt 0.2 with patched OllyDbg 2.01 a2
OllyExt 0.2 with patched OllyDbg 2.01 c (patched by Vnv)

Баги:
XQuader пишет:
Кста, если стоит в настройках шагать юзая HW бряки, то процесс сразу стартует (в олькином логе видно, что прибивается её бряк на ЕП и остальные, если стояли при запуске ) => начало отладки должно начинаться с Int3 бряка.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: Vnv, vnekrilov, mak, XQuader, _ruzmaz_, ff0h, obfuskator, Gideon Vi, ClockMan, [0utC4St], Usulgurt, AKAB, stas_02, 4kusNick, Dart Sergius, DenCoder, Isaev, Dem0n1C, Error13Tracer, SReg

Позволил себе добавить плагин в 201c - http://rghost.ru/6469701

| Сообщение посчитали полезным:

Ага спасиб, добавил комент у себя.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Thanks PE_Kill,Test .

| Сообщение посчитали полезным:

Кста, если стоит в настройках шагать юзая HW бряки, то процесс сразу стартует (в олькином логе видно, что прибивается её бряк на ЕП и остальные, если стояли при запуске ) => начало отладки должно начинаться с Int3 бряка.
ЗЫ. Прикрутил к сборке SND 2.0, брать здесь.
ЗЗЫ. Линк поправил

| Сообщение посчитали полезным:

Кажется фемида его ещё палит.

| Сообщение посчитали полезным:

Поправил шапку, чтобы больше таких вопросов не возникало.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Позволил себе немного попилить ольку, на вашей базе. Если быть точным подменил свою ollyext.dll
http://rghost.ru/8633771
Что обходит:
ZwQueryInformationProcess с классами
0x07 - ProcessDebugPort
0x1E - ProcessDebugObjectHandle
0x1F - ProcessDebugFlags
ZwSetInformationThread спараметром
0x11 - ThreadHideFromDebugger

байт Peb.BeingDebugged(IsDebuggerPresent), NtDebugFlags, ProcessHeapsFlags

Пока что без морды настроек. Есть желание сначала скрыть по максимуму, потом уже чебоксы прикрутить


Usulgurt пишет:
А достижения предыдущего товарища в этом направлении как бы игнорируются?
Ничуть не хочу оскорбить PE_Kill и его труд, просто попался прот который палит весь этот список, и оказалось проще написать свое чем прикручивать к чужому свой функционал. Если PE_Kill будет заинтерисован в объединении усилий - я только за, ну а нет - буду делать свою реализацию. Никому от этого хуже не станет.

| Сообщение посчитали полезным:

Veliant пишет:
Позволил себе немного попилить ольку, на вашей базе. Если быть точным подменил свою ollyext.dll
А достижения предыдущего товарища в этом направлении как бы игнорируются?

| Сообщение посчитали полезным:

У меня сейчас на это абсолютно нет времени, можем перекинуться сорсами для увеличения живучести проекта.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
У меня сейчас на это абсолютно нет времени,

А может нужно твою dll слегка доработать, чтобы через неё ещё n новых произвольных плагинов можно было подключить в олю?

| Сообщение посчитали полезным:

Ну да я думал об этом, сделать PluginManager только вот со временем туговато сейчас.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Итак. Так как выдался свободный денек решил попилить вторую ольку.
Начал навешивать на нее плагинную систему. Сразу скажу что изучив plugin api первой оли я отбросил затею делать совместимый код.
На данный момент уже имеются некоторые рабочие функции вроде добавления в меню, run/trace аналоги горячих клавиш, чтение памяти, запись в память, ассемблирование команды, установка/снятие int3 бряков, вывод в log.
(Остальные функции из экспорта пока как заглушки)

На данный момент пока что довольно сыро, тк писалось за один день на коленке в FASM'е.

Собственно вот пример на погонять.
http://rghost.ru/9405861

Буду признателен если кто изучал вторую ольку и подкинет пару адресов функций которые можно вынести в api плагина.

Сразу оговорюсь что проект будет свернут, если разработчик все же сблагоизволит добавить свой PDK, а пока это вынужденная необходимость

Временное описание для тех кого заинтересовало
AddMenuItem (WCHAR*text, FARPROC* MakeMenu, FARPROC* Handler)
text - надпись
makeMenu - указатель на процедуру, которая создаст подменю и вернет HMENU, либо 0 для однострочной записи
Handler - обработчик меню (для выпадающих меню передается ID,которое должен сам сравнивать и вернуть 0 или 1 в случае если ID принадлежит ему)
AddLogItem (_DWORD addr, WCHAR*text)
DbgReadMemory (void *addr, void *buffer, size)
DbgWriteMemory (void *addr, void *buffer, size)
DbgRun()
DbgRunThread()
DbgStepInto()
DbgStepOver()
DbgTillRet()
DbgSetInt3Break (void *addr)
DbgDelInt3Break (void *addr)
DbgAssemble (void *addr, WCHAR *command, void *buffer)
addr - адрес относительно которого ассемблировать
command - юникод строка с командой
buffer - указатель на массив в 32 байта, куда будет сохранен бинарный код

Для случаев патча самой ольки
PmHookOllyIAT (void *addr, void *handler)
addr - адрес который надо искать в IAT
handler - на что подменить

| Сообщение посчитали полезным: Gideon Vi, vnekrilov, obfuskator, Isaev, _ruzmaz_, ValdiS, Bronco

Veliant

А что - идея с хайдом ольки мне нравится. Хотя Плагин СДК как таковой меня мало интересует. Как вы отнеслилсь бы к драйверному сокрытию отладчика? Т.е. к присобачиванию дровины к вашему плагину? Честно говоря, не смотрел, как вы скрывали её. Может быть, это всё у вас уже реализовано? Если Вас не затруднит, введидте в курс дела, как вы добивались сокрытия?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL Ring3 - хук апи, чистка пеба.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: ARCHANGEL

ARCHANGEL пишет:
А что - идея с хайдом ольки мне нравится. Хотя Плагин СДК как таковой меня мало интересует. Как вы отнеслилсь бы к драйверному сокрытию отладчика? Т.е. к присобачиванию дровины к вашему плагину? Честно говоря, не смотрел, как вы скрывали её. Может быть, это всё у вас уже реализовано? Если Вас не затруднит, введидте в курс дела, как вы добивались сокрытия?
Я бы с радостью, но у меня нет опыта программирования дров под винду. Поэтому на данный момент, как сказал PE_Kill, реализовано палевным способом - сплайсом функций ntdll кодом вида mov eax, address / call eax

| Сообщение посчитали полезным:

Скорее бы поддержку плагинов сделали бы для второй ольки, а то я замучался патчить.

| Сообщение посчитали полезным:

3 августа вышла OllyDbg 2.01 alpha 4 с поддержкой системы плагинов.

| Сообщение посчитали полезным:

dimcha пишет:
3 августа вышла OllyDbg 2.01 alpha 4 с поддержкой системы плагинов.
Да, я видел эту новость, поэтому, скорей всего, мой проект сворачивается


Gideon Vi пишет:
если сворачивать только из-за того, что в мега-глючной версии добавили плаги - зря.
Ну честно признаться первая мысля была - теперь проще будет все функции найти и забить себе)))
Поюзал новый билд пару дней - вернулся на старый

| Сообщение посчитали полезным:

Veliant, если сворачивать только из-за того, что в мега-глючной версии добавили плаги - зря.

Поюзал новый билд пару дней - вернулся на старый

а я о чем? Если проект не в напряг, то не забрасывай. Олег походу в эмо превращается

| Сообщение посчитали полезным:

PhantOm для второй ольки не планируется случаем?

| Сообщение посчитали полезным:

hide ollydbg2 plugin

50d3_10.08.2011_EXELAB.rU.tgz - HideOd.zip

| Сообщение посчитали полезным: hexusR

AKAB пишет:
hide ollydbg2 plugin

чье?

| Сообщение посчитали полезным:

да походу кто-то просто перекомпилил плаг аста

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

У мну с этим плагом не хочет открывать воопще ничего =\ - "Unable to start file xxx.exe"

| Сообщение посчитали полезным:

Gideon Vi пишет:
чье?
by phpbb3

| Сообщение посчитали полезным:

--DEL-- (fix кривой экспорт)

P.S. Если возникает вопрос зачем мне это, после добавления оффициального PDK - задумка прежде всего в создании обратной совместимости с плагинами от 1.10

| Сообщение посчитали полезным: