Сейчас на форуме: -Sanchez-, Alf, Adler (+5 невидимых)

 eXeL@B —› Софт, инструменты —› PhantOm plugin
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . >>
Посл.ответ Сообщение


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 января 2007 01:43 · Поправил: Модератор
· Личное сообщение · #1

вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

 Создано: 13 января 2009 19:17
· Личное сообщение · #2

помоему никакие не работают




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 13 января 2009 19:39
· Личное сообщение · #3

Av0id пишет:
помоему никакие не работают

значит не судьба.

з.ы. в плаге намутил замену инт3 бряков, типо как в адвансед олли было

-----
[nice coder and reverser]


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 07 февраля 2009 15:08 · Поправил: Hellspawn
· Личное сообщение · #4

NIKOLA пишет:
Было предложение, если я не ошибаюсь, сделать сохранение профиля и его загрузки. Будет или нет ?

отвечу в своей теме, дабы не флудить. в принципе можно сделать, но таже дельта rdtsc зависит от конкретной тачки да и сборок ольги куча но можно комбобокс сделать, где выбираться будет протектор, а профили самому можно будет забивать в ини файл.

з.ы. щас в дрове переписывается очень много, добавлено несколько новых хайдов, в плаге я уже замутил замену int3 бряков и отладил, работает как часы

-----
[nice coder and reverser]


Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

 Создано: 07 февраля 2009 15:13
· Личное сообщение · #5

Ждать сколько?



Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

 Создано: 07 февраля 2009 16:27
· Личное сообщение · #6

Хз. может рядом с комбобоксом кнопочку маленькую сделать(save) и при нажатии на нее вывести диалог с эдитом, где нужно вводить имя протектора итд. и кнопка ок
После нажатия на ок, в данный момент выставленные настройки записываются в отдельный ини-файл, к примеру setting.ini
Там секция - это то, что вводилось в эдит, а параметры это ключи
Для примера
;файл setting.ini
[VMProtect]
PEB=0
GETCOUNT=0
DRX=0
;...
[ACProtect]
PEB=0
GETCOUNT=1
DRX=0
;...
А если одинаковое имя, то перезаписывать настройки
Потом можно будет этот файл с настройками передавать другому челу
Просто при загрузке искать этот файлег в директории с плугом и если есть, загружать оттуда имена секций(VMProtect, ACProtect) в комбобокс - а при выборе в комбобоксе, сразу и устанавливать соответствующие настройки
Ну, как-то так.
Просто в ручную там по ини-файлу лазить, хз. не есть наверное гуд – ИМХО
А для DELTARDTSC, ну сделать эдит просто, да и все.. читать оттуда введенное значение
Если поле эдит для DELTARDTSC пустое, писать туда че-нить по-умолчанию..

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com


Ранг: 154.2 (ветеран), 66thx
Активность: 0.080
Статус: Участник
REVENGE Crew

 Создано: 07 февраля 2009 20:24
· Личное сообщение · #7

Hellspawn пишет:
отвечу в своей теме, дабы не флудить. в принципе можно сделать, но таже дельта rdtsc зависит от конкретной тачки да и сборок ольги куча но можно комбобокс сделать, где выбираться будет протектор, а профили самому можно будет забивать в ини файл.

Имхо профили это не самое главное в фантоме, при желании можно просто для разных протов разные Ольки хранить с разными настройками.
Конечно, если такой функционал будет, пользоваться в какой-то мере станет удобней (тем кому это необходимо), но еще раз сугубо мое мнение — это уже мелочи.

Hellspawn пишет:
з.ы. щас в дрове переписывается очень много, добавлено несколько новых хайдов, в плаге я уже замутил замену int3 бряков и отладил, работает как часы

А вот эта сторона плагина имхо как раз и важна.

Demon666 пишет:
Потом можно будет этот файл с настройками передавать другому челу

Не спора ради, но имхо это неверное направление. Человеку надо передавать знания, а не файлы с конкретными настройками.
Роботы нам не нужны Нам нужны люди которые понимают что и как работает и почему надо использовать те или иные опции и трюки.

Demon666 пишет:
Просто в ручную там по ини-файлу лазить, хз. не есть наверное гуд – ИМХО
А для DELTARDTSC, ну сделать эдит просто, да и все.. читать оттуда введенное значение
Если поле эдит для DELTARDTSC пустое, писать туда че-нить по-умолчанию..

Можно еще добавить правку через GUI имен фантомовских драйверов и заголовка Олли.
Хотя это тоже мелочи, просто кто как привык тому так и удобней.
Мне, например, проще инишку быстро открыть и поправить что надо.



Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

 Создано: 07 февраля 2009 21:28
· Личное сообщение · #8

kioresk
Ну то что ты сторонник функционала, а гуи это зло – эт я уже понял еще со времен TE+
Но, то что я написал реализовать за минут 30 наверное можно.. может больше, но никак не неделя – ИМХО
Я вижу что Hellspawn написал, просто немного дополнил/продолжил его мысль
Я фантомку когда юзаю именно ап сохранении настроек и думаю, что именно этого для меня лично не хватает
Смысл тут даже не в роботах %),.. Когда настроек одна-две тогда да, а когда их 20-30, то напряжно эти галочки щелкать
еще бы добавить пару кнопок, снять все галочки – установить все галочки
ладно давай не будем спорить – написали.. сделает будет хорошо, нет ну значит не получилось или желания не было это кодить
тем более что уже многие попросили именно это ;)

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com


Ранг: 500.6 (!), 7thx
Активность: 0.260
Статус: Участник

 Создано: 18 февраля 2009 13:41
· Личное сообщение · #9

У китайцев нашел:

Anti-PhantOm (Anti-anti debugger Plugin) PoC Code

Code:
  1.           
  2. Coded By ljm92201@paran.com
  4.            [+] For more information, visit my blog (http://vbdream.tistory.com)
  6. \********************************************************************* ********/
  8. int main(int argc, char **argv)
  9. {
  10.         typedef LONG (WINAPI *ZWQUERYINFORMATIONTHREAD)(HANDLE, LONG, PVOID, ULONG, PULONG);
  11.         typedef struct {
  12.                 LONG ExitStatus;
  13.                 PVOID TebBaseAddress;
  14.                 struct {
  15.                         PVOID UniqueProcess;
  16.                         PVOID UniqueThread;
  17.                 } ClientId;
  18.                 LONG AffinityMask;
  19.                 LONG Priority;
  20.                 LONG BasePriority;
  21.         } THREAD_BASIC_INFORMATION;
  23.         HMODULE hNtDll;
  24.         if(!(hNtDll = GetModuleHandle(TEXT("ntdll")))) return EXIT_FAILURE;
  26.         ZWQUERYINFORMATIONTHREAD ZwQueryInformationThread;
  27.         if(!(ZwQueryInformationThread = (ZWQUERYINFORMATIONTHREAD)GetProcAddress(hNtDll , "ZwQueryInformationThread"))) return EXIT_FAILURE;
  29.         THREAD_BASIC_INFORMATION tbi;
  30.         ULONG retLen;
  32.         for(DWORD ThreadID = 0; ThreadID <= 0xFFFFL; ThreadID += 4L)
  33.         {
  34.                 // Do Brute-forcing for all threads !
  35.                 HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, ThreadID);
  36.                 //printf("[+] Searching TID... %d \n", ThreadID);
  37.                 if(hThread)
  38.                 {
  39.                         if(ZwQueryInformationThread(hThread, 0, &tbi, sizeof tbi, &retLen) == 0xC0000022) // STATUS_ACCESS_DENIED
  40.                         {
  41.                                 // Gotcha !
  42.                                 printf("[!] Detected PhantOm'ed Olly Debugger Thread... TID: %d\n", ThreadID);
  44.                                 TerminateThread(hThread, 0);
  45.                         }
  47.                         // Handle Closing ;)
  48.                         CloseHandle(hThread);
  49.                 }
  50.         }
  52.         return EXIT_SUCCESS;
  53. }


hi all friends!
With plentifully busy relationship, cannot a connection frequently.

+GPL Opens to the public a source under this sense.

www.unpack.cn/viewthread.php?tid=32866&extra=page%3D1




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 18 февраля 2009 13:50
· Личное сообщение · #10

NIKOLA

в новой версии это поправлено давно, и ещё несколько багов и много всего вкусного добавлено тока времени нету, диплом нада писать, так что пока все проекты заморожены)))

з.ы. выложить чтоли для StrongOD один из детектов, хотя лана, кому надо сами найдут.

-----
[nice coder and reverser]

Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

 Создано: 18 февраля 2009 18:50
· Личное сообщение · #11

Hellspawn пишет:
выложить чтоли для StrongOD один из детектов, хотя лана, кому надо сами найдут.
Пеп наглухо палит стронг ;)




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 21 февраля 2009 18:12 · Поправил: Hellspawn
· Личное сообщение · #12

хехе, хз кто это ljm92201@paran.com и почему ему не хватило ума чуть модифицировать способ))
держите, список процессов я проверяю для подстраховки.

красивый листинг: dumpz.org/5700/

Code:
  2. // by Hellspawn 
  3. // just4fun
  5. function CheckProcess(PID: dword): dword;
  6. var
  7.   wnd1 : THandle;
  8.   Pe32 : tagPROCESSENTRY32;
  9. begin
  10.   result   := 0;
  11.   wnd1     := CreateToolhelp32Snapshot (TH32CS_SNAPPROCESS, 0);
  12.   if (wnd1 = INVALID_HANDLE_VALUE) then Exit;
  13.   pe32.dwSize := SizeOf(TProcessEntry32);
  14.   If Process32First(wnd1,pe32) then
  15.   repeat
  16.     If (PID = pe32.th32ProcessID) then
  17.     begin
  18.       Result := 1;
  19.       break;
  20.     end;
  21.   until (not Process32Next(wnd1, pe32));
  22.   CloseHandle (wnd1);
  23. end;
  25. procedure KillStongOD();
  26. var
  27.   ThreadID : dword;
  28.   hProcess : dword;
  29.   hThread  : dword;
  30.   dwTmp    : dword;
  31.   dwRes    : dword;
  32.   pBuf     : THREAD_BASIC_INFORMATION;
  33.   Cont     : TContext;
  34. begin
  35.   For ThreadID := 1 to $FFFF do
  36.   begin
  37.     hThread := OpenThread(THREAD_QUERY_INFORMATION or THREAD_GET_CONTEXT or THREAD_SET_CONTEXT,FALSE,ThreadID);
  38.     If (hThread <> 0) then
  39.     begin
  40.       dwRes := ZwQueryInformationThread(hThread,0,@pBuf,SizeOf(THREAD_BASIC_INFORMATI ON),@dwTmp);
  41.       If (dwRes = 0) then
  42.       begin
  43.         If (pBuf.ClientId.UniqueProcess <> GetCurrentProcessId) and (CheckProcess(pBuf.ClientId.UniqueProcess) = 0) then
  44.         begin
  45.           hProcess := OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,pBuf.ClientId.UniqueProces s);
  46.           If (hProcess <> 0) then
  47.           begin
  48.             CloseHandle(hProcess);
  49.           end else
  50.           begin
  51.             If (GetLastError() = 5) then
  52.             begin
  53.               log('Hiden thread detected - Process ID: ' + IntToHex(pBuf.ClientId.UniqueProcess,8));
  54.               Cont.ContextFlags := CONTEXT_CONTROL;
  55.               If GetThreadContext(hThread,cont) then
  56.               begin
  57.                 cont.Eip := DWORD(GetProcAddress(GetModuleHandle('kernel32'),'ExitThread'));
  58.                 SetThreadContext(hThread,cont)
  59.               end;
  60.             end;
  61.           end;
  62.         end;
  63.       end;
  64.       CloseHandle(hThread);
  65.     end;
  66.   end;
  67. end;


-----
[nice coder and reverser]


Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

 Создано: 22 февраля 2009 02:10
· Личное сообщение · #13

Hellspawn пишет:
procedure KillStongOD
Упс...жёлтые поди в истерике.
-----
Фантом тож мона так шинкануть???

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

Ранг: 39.0 (посетитель)
Активность: 0.040
Статус: Участник

 Создано: 22 февраля 2009 15:54
· Личное сообщение · #14

Bronco
Можно. В запросах на слом была прога, которая при обнаружении отладчика перезагружает комп (не BSOD, просто перезагрузка). А потом при следующей загрузке компа выводит лог с ошибкой - debugger detected. Запустил под олей с фантомкой 1.54 (макс. опции защиты от обнаружения). Ребут!




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

 Создано: 22 февраля 2009 15:58
· Личное сообщение · #15

SVIN95 пишет:
не BSOD, просто перезагрузка

лень ловить руками - поставь хайдтулз.




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 февраля 2009 15:58
· Личное сообщение · #16

Bronco

чуть по-другому можно было.

SVIN95

драйвер нада переименовывать. и галки с умом расставлять.

-----
[nice coder and reverser]


Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

 Создано: 22 февраля 2009 16:17
· Личное сообщение · #17

Hellspawn пишет:
можно было.
Гы... звучит в прошедшем, значит в настоящем - ниЗя....
//енто радует.
----
Ваще конено это нездорово, когда авторы одинакого по смыслу продукта, начинает детектить оппонента

-----
Чтобы юзер в нэте не делал,его всё равно жалко..


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 22 февраля 2009 18:43
· Личное сообщение · #18

Это здорово, когда ищут дыры друг у друга, но вот постить на паблик вместо того, чтобы кинуть в личку-хреново.



Ранг: 0.3 (гость)
Активность: 0=0
Статус: Участник

 Создано: 02 марта 2009 18:44 · Поправил: eIcn
· Личное сообщение · #19

Not All Hiden thread is StrongOD's
And Not All thread which can not be ZwQueryInformationThread is phant0m's
Both are not the good way to detect.




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 02 марта 2009 18:48
· Личное сообщение · #20

eIcn

it's only fun, nothing else.

-----
[nice coder and reverser]

Ранг: 159.1 (ветеран), 7thx
Активность: 0.130
Статус: Участник

 Создано: 07 мая 2009 13:29 · Поправил: tempread
· Личное сообщение · #21

В меню плагина не хватает,рядом с галочками "Options","About", галочки "Disable"(либо "Enable"). Очень уж надоедает включать/выключать Фантом снимая/ставя выборочно галочки с опций(иногда приходится делать это по 30+ раз за час).



Ранг: 0.7 (гость)
Активность: 0=0
Статус: Участник

 Создано: 27 мая 2009 22:42
· Личное сообщение · #22

А где, нсли не сикрет, можно скачать драйвер на фантома 1.54? А то без него оля не прячется и при включении галочек все ж-ж-ж-уттко то-о-рмо-о-зит. заранее спсб




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 27 мая 2009 22:50
· Личное сообщение · #23

ничё не понял драйвер внутри плагина.

-----
[nice coder and reverser]

Ранг: 0.7 (гость)
Активность: 0=0
Статус: Участник

 Создано: 27 мая 2009 23:03
· Личное сообщение · #24

сори... така дошло...




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

 Создано: 28 июля 2009 08:26 · Поправил: Nightshade
· Личное сообщение · #25

Когда будет обнова? Windows 7 rtm oem уже выложили...



Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

 Создано: 12 сентября 2009 21:23
· Личное сообщение · #26

будет ли апдейт фантомки (ну и плюс фикс того что Пьер накопал в своем бюлетне)
Спасибо




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 14 сентября 2009 19:22
· Личное сообщение · #27

апдейт уже готов (драйверная часть) да и в самом плаге много переписанно, но работы ещё много. плаг сейчас не приоритетный проект и занимаюсь им очень мало, т.к. уже не особо интересно...

-----
[nice coder and reverser]


Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

 Создано: 15 сентября 2009 08:44
· Личное сообщение · #28

Hellspawn пишет:
плаг сейчас не приоритетный проект и занимаюсь им очень мало, т.к. уже не особо интересно...

так может выпустишь rc? Можно с большой красной надписью: багрепорты не принимаются - времени на фиксы нет. Юзать будет тот, кому нужно



Ранг: 6.6 (гость)
Активность: 0=0
Статус: Участник

 Создано: 19 января 2010 19:12
· Личное сообщение · #29

Уважаемые Archer и Hellspawn, перезалейте, пожалуйста, файл.
P.S. С нетерпением жду новой версии вашего плага (можно хоть недоделанные беты)!




Ранг: 147.7 (ветеран), 50thx
Активность: 0.120
Статус: Участник
sv_cheats 1

 Создано: 19 января 2010 19:56
· Личное сообщение · #30

q1nex

cf63_19.01.2010_CRACKLAB.rU.tgz - PhantOm.dll



Ранг: 6.6 (гость)
Активность: 0=0
Статус: Участник

 Создано: 19 января 2010 21:13
· Личное сообщение · #31

SER[G]ANT
Спасибо!
Еще у меня вопрос. Где плагин хранит настройки? В файле ollydbg.ini их нет, и вставка туда оных (тут кто-то выкладывал пример конфига) ни на что не влияет. Надо переименовать дрова и окошко, подскажите, пожалуйста.


<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . >>
 eXeL@B —› Софт, инструменты —› PhantOm plugin
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати