 |
eXeL@B —› Софт, инструменты —› Баг в Olly Advanced |
| Посл.ответ | Сообщение |
|
|
Создано: 27 июня 2014 00:56 · Личное сообщение · #1 Исследовал на Vmware работу плагина Olly Advanced, система вин хп сп2. Обнаружил, что галочка "Kill %s%s bag" http://floomby.ru/s2/bWuZ3K не работает и не защищает от бага в олли, который связан с вызовом OutputDebugStringA с параметром такого вида %s%s.....%s%s, оля после этого вываливается. Тестировал на программе, пакованной Армадилой версии 4.42, в ней как раз применяется трюк с этим багом. И отладчик не проходит его. Во время теста кроме этого плагина, других не было. Давно заметил, что антиотладочные плагины вместе плохо уживаются. После этого убрал этот плагин, поставил Hideod, в нем тоже представлен обход этого бага. И там все сработало. Hideod правит начало этой апи, тем самым перехватывая ее. Но меня интересует, почему Advanced не справился с этим. Также интересно нет ли сорцов этого плага. Плагин хороший, его бы доделать и протестировать хорошо.  |
|
|
Создано: 27 июня 2014 01:04 · Поправил: ThugboyZ · Личное сообщение · #2 Занопь в ольге call по адресу 00431289 , мессаджи будут всплывать, но DebugString будет игнориться.Скипать пофигу - жмешь энтер и все должно быть окей. Качни с тутсей Olly Detection Tools 1.4 и затесть опосля. |
|
|
Создано: 27 июня 2014 01:59 · Личное сообщение · #3 ThugboyZ пишет: Занопь в ольге call по адресу 00431289 Сделал, но все равно появляются окна http://floomby.ru/s2/nWFa5D |
|
|
Создано: 27 июня 2014 02:07 · Поправил: ThugboyZ · Личное сообщение · #4 kola1357 пишет: Сделал, но все равно появляются окна http://floomby.ru/s2/nWFa5D Я же написал - игнорь их прокликиванием или по энтеру.На армадилло это точно катит. |
|
|
Создано: 27 июня 2014 02:10 · Поправил: kola1357 · Личное сообщение · #5 ThugboyZ пишет: Я же написал - игнорь их прокликиванием или по энтеру Игнорю, работает. Но как я понимаю не должно быть их совсем ? А если кто-то придумает такое)) Code:
|
|
|
Создано: 27 июня 2014 02:16 · Поправил: ThugboyZ · Личное сообщение · #6 kola1357 пишет: Игнорю, работает. Но как я понимаю не должно быть их совсем ? А если кто-то придумает такое)) Брякнувшись на апи выходим из функи и патчим бинарь.Профит.Некоторые протекторы палят софтварные бряки, но это не проблема опять таки. Добавлено спустя 2 минуты kola1357 пишет: Но как я понимаю не должно быть их совсем ? Отладь исправленный бинарь олли в любом модифицрованном варианте - snd, shadow и тд, ну и посмотри как там сделан патч.Я сделал так, как привел выше (искал сам и патчил все сам с нуля) и мне этого достаточно. |
|
|
Создано: 27 июня 2014 03:47 · Личное сообщение · #7 ThugboyZ пишет: Некоторые протекторы палят софтварные бряки, но это не проблема опять таки. Я видел в Advenced галочку от этого, большинство протекторов в коде ищут опкоды CC, а этот плагин при установке галочки ставит свои опкоды другие, чем и дурит протекторы. Конечно подсчет CRC от этого не спасет, но хоть что-то. |
|
|
Создано: 27 июня 2014 07:22 · Личное сообщение · #8 это окно не от Olly Advanced, а от ODbgScript читать тут http://exelab.ru/f/action=vthread&forum=3&topic=13409&page=3 ----- [nice coder and reverser] | Сообщение посчитали полезным: kola1357 |
|
|
Создано: 27 июня 2014 16:53 · Личное сообщение · #9 Хорошо, что это не Advanced глюк, ODBgScript пропатчил и окошко пропало. Но вот продолжаю дальше исследования этого плагина. Теперь решил посмотреть опцию Anti-anti HardWare BP. Взял программу для теста, покрытую Vmprotector. В качестве антиотладки прот использует: IsDebuggerPresent, ZwQueryInformationProcess, ZwClose и палит программные бряки, в том числе и бряк на точке входа. Так как в Advanced нет защиты от ZwClose, то добавил плагин SkyllaHide, в котором установил галки только на эти функции. Про ZwClose пару слов. Эта функция генерирует исключение под отладчиком Invalid_handle, если ей передать для закрытия несуществующий handle, а вне отладчика она просто возвращает код ошибки. На этом тут и основа антиотладка. Поставил Hard bp на апи ZwQueryInformationProcess, программа запускается без остановки на этой функции, бряк не обнаружен, но и остановки не было, видимо в контексте стерла тихо его. Хотя программный бряк на эту функцию остановку вызвал. И Api Monitor показывает, что прога эту функцию использует. То есть можно сделать вывод, что в плагине галочка Anti-anti hardware bp не работает должным образом. Тест проводил также на Vwware win xp sp2. |
|
|
Создано: 27 июня 2014 17:32 · Личное сообщение · #10 Advanced для хайда не слишком хорош. Если интересные другие его опции, то их можно использовать, поставив Advanced первым в списке, а другой хайдящий плагин - последним. |
|
|
Создано: 27 июня 2014 18:20 · Личное сообщение · #11 Gideon Vi пишет: поставив Advanced первым в списке, а другой хайдящий плагин - последним. А как изменять порядок загрузки плагинов ? На сколько я знаю они по именам сортируются при загрузке, то есть плагины на букву A будут грузиться первыми, а потмо плагины на букву B и так далее. |
|
|
Создано: 27 июня 2014 18:43 · Личное сообщение · #12 kola1357 пишет: А как изменять порядок загрузки плагинов ? На сколько я знаю они по именам сортируются при загрузке, то есть плагины на букву A будут грузиться первыми, а потмо плагины на букву B и так далее. Весь ответ уже в вопросе... переименовать файлы в 1_pluginname.dll, 2_pluginname.dll... |
|
|
Создано: 27 июня 2014 19:08 · Личное сообщение · #13 Gideon Vi пишет: Advanced для хайда не слишком хорош А что тогда использовать для скрытия хардных бряков ? |
|
|
Создано: 27 июня 2014 19:33 · Личное сообщение · #14 kola1357 пишет: А что тогда использовать для скрытия хардных бряков ? strong, phantom. Может ещё ScyllaHide, но я его не смотрел. зы: из десятка случаев, когда мне требовались hw, в четырех их использовала программа, или прот на ней... |
|
|
Создано: 28 июня 2014 10:45 · Личное сообщение · #15 kola1357 пишет: использовать для скрытия хардных бряков  0db3_28.06.2014_EXELAB.rU.tgz - OllyExt 1.8.png
|
|
|
Создано: 28 июня 2014 12:20 · Личное сообщение · #16 sendersu, а вот там вижу ProtectDRX и HideDRX, а в чем различие у них ? |
|
|
Создано: 28 июня 2014 21:40 · Личное сообщение · #17 Видимо, 1 защищает от перезаписи, а второй от чтения. Совсем лень самому взять, потыкать и разобраться? |
|
|
Создано: 29 июня 2014 02:24 · Поправил: kola1357 · Личное сообщение · #18 Archer пишет: Совсем лень самому взять, потыкать и разобраться? Я работаю на первой версии ольки. А плагин как я выяснил для 2 версии. А она еще урезанная, поэтому приходиться работать на первой. |
|
|
Создано: 29 июня 2014 11:39 · Личное сообщение · #19 Вот краткий перечень баг, что автор Олли порешал во второй версии http://prntscr.com/3xl4iv да, плагин OllyExt только для 2-ки на 1ой вагон и тележка своих хватает. |
|
|
Создано: 12 июля 2014 02:05 · Личное сообщение · #20 Вот собирал те багфиксы, которые можно запатчить без внедрения дополнительного кода (если кто дополнит/поправит - было бы гуд): Code:
----- ds | Сообщение посчитали полезным: Jaa, unknownproject |
|
|
Создано: 12 июля 2014 02:23 · Поправил: unknownproject · Личное сообщение · #21 DimitarSerg пишет: Вот собирал те багфиксы, которые можно запатчить без внедрения дополнительного кода (если кто дополнит/поправит - было бы гуд): Добавлю еще от себя, так как вышеописанное находил сам. Code:
Ps.Тестил чистую олю с помощью Extreme Debugger Detector 0.50, которая, собственно и помогла идентифицировать многие отладочные трики. ----- TEST YOUR MIGHT |
|
|
Создано: 12 июля 2014 02:46 · Личное сообщение · #22 истинно удивляюсь, зачем патчить баг фиксы при живом то авторе который всегда с удовольствием исправляет их |
|
|
Создано: 12 июля 2014 03:13 · Личное сообщение · #23 reversecode пишет: истинно удивляюсь, зачем патчить баг фиксы при живом то авторе который всегда с удовольствием исправляет их Ну это уже вопрос привычки.Если годный инструмент охота юзать, то даже так заморачиваться будешь.Антиотладочных триков масса и полагаться на плагины все же не стоит, а с учетом того, что многие из них в основном на XP работали, то приходится и поизвращаться в поисках решения вручную 
----- TEST YOUR MIGHT |
|
|
Создано: 12 июля 2014 03:19 · Личное сообщение · #24 reversecode пишет: истинно удивляюсь, зачем патчить баг фиксы при живом то авторе который всегда с удовольствием исправляет их думаете, будет править 1,10? В 2.х это уже исправлено. |
|
|
Создано: 12 июля 2014 03:26 · Личное сообщение · #25 тему тогда как то подправить что ли, что это не Олли андванцед а кастом олд билд by фанаты
|
|
|
Создано: 12 июля 2014 06:52 · Личное сообщение · #26 Да таким макаром можно любую тему поправить  Давайте создадим в основной ветке тему по фиксам ольги (или даже две, по числу веток) и пусть там эта информация висит.
|
|
|
Создано: 12 июля 2014 11:51 · Личное сообщение · #27 там эти фиксы не всегда корректны, грубо говоря, могут быть последствия в фантике все максимально корректно, т.к. каждое решение под багу я сам реверсил и чекал, за других ручаться не буду.можно создать тему и обозвать, например набор исправлений для OllyDbg 1.10 ? ----- [nice coder and reverser] |
|
|
Создано: 12 июля 2014 12:29 · Личное сообщение · #28 Hellspawn пишет: можно создать тему и обозвать, например набор исправлений для OllyDbg 1.10 ? Не можно а нужно ))
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
eXeL@B —› Софт, инструменты —› Баг в Olly Advanced |
Для печати