вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

В аттаче тест и мотор мой(запустить нужно вначале nthdrv).

А сабж вообще никуда не пригоден, имхо.

[18:40:13] Indy vx: )
[18:41:46] Indy vx: фантом
[18:42:00] Indy vx: CloseHandle прошёл
[18:42:07] Indy vx: BlockInput облом
[18:42:15] Indy vx: :D
[18:42:41] Indy vx: QueryPerfCount облом
[18:43:07] Indy vx: ThreadHideFromDebugger облом
[18:43:46] Indy vx: ProcessDebugObjectHandle
[18:44:02] Indy vx: ProcessDebugPort
[18:44:14] Indy vx: ProcessDebugFlags
[18:44:33] Indy vx: SystemKernelDebuggerInformation
[18:44:54] Indy vx: NtQueryObject
[18:45:13] Indy vx: InheritedFromUniqueProcessId
[18:45:39] Indy vx: облом
[18:45:44] Indy vx: унылое говно
[18:45:54] Indy vx: щас стронг потестим
[18:47:21] Indy vx: CloseHandle облом
[18:47:32] Indy vx: дальше можно не тестить :D)
[18:47:51] Indy vx: знаете есчо плаги ?
[18:48:20] *: ой, их дохуя, но они эти лучшие из лучших (худших т.е.) )
[18:48:34] Indy vx: нда
[18:48:44] Indy vx: сорта говна

[19:27:07] *: 1001045B AC LODS BYTE PTR DS:[ESI] - AV
[19:28:35] *: главное на 7 робило )
[19:28:36] Indy vx: странно
[19:28:52] Indy vx: а откуда вызывается ?
[19:28:59] Indy vx: там есть пдб
[19:29:33] *: Snapshot
[19:29:47] Indy vx: а аргументы ?
[19:30:20] Indy vx: ApiInitialize()
[19:30:26] *: CPU Disasm
Address Hex dump Command Comments
10011D54 A3 98050310 MOV DWORD PTR DS:[10030598],EAX
10011D59 6A 00 PUSH 0
10011D5B 6A 00 PUSH 0
10011D5D 68 40010110 PUSH LDE
10011D62 50 PUSH EAX
10011D63 FF35 94050310 PUSH DWORD PTR DS:[10030594]
10011D69 E8 24E8FFFF CALL _Snapshot@20
[19:31:03] Indy vx: аа
[19:31:33] *: на 7 робит норм
[19:31:38] Indy vx: брякнитесь на 10011D69 и посморите что в аргуметах
[19:32:33] Indy vx: первый ссылка в системный диспетчер
[19:32:34] *: CPU Stack
Address Value ASCII Comments
0012F54C /00000000
0012F550 |008B0000 ‹
0012F554 |10010140 @ ; Flt.LDE
0012F558 |00000000
0012F55C |00000000
[19:32:38] Indy vx: второй на буфер
[19:32:59] Indy vx: понятно
[19:33:20] Indy vx: в опциях олли нужно добавить чтоб int 3 пропускала
[19:34:05] *: ага
[19:34:07] *: робит щас
[19:34:10] Indy vx:
[19:34:12] *: а с чем это связано?
[19:34:39] Indy vx: int 3 обрабатывается кодом для получения адреса возврата в диспетчер, далее он описывается в слепке
[19:34:54] Indy vx: надо будет поменять на другой фолт..
[19:35:13] *: т.е. не инт3?
[19:35:14] *: )
[19:35:18] Indy vx: да
[19:35:28] Indy vx: cli например
[19:36:01] Indy vx: поменял
[19:36:10] *: int1, sti, cli, hlt
[19:36:21] *: insb,insd,outsb,outsd
[19:36:25] *:

[19:54:15] Indy vx: ага
[19:54:28] Indy vx: я почти всё обработал
[19:54:42] Indy vx: не много осталось
[19:54:55] Indy vx: с отладочными привилегиями гемор
[19:55:36] Indy vx: если например тред крутится в цикле
[19:55:52] Indy vx: устанавливая и сбрасывая привилегию
[19:55:59] Indy vx: тогда при аттаче отладчика
[19:56:02] Indy vx: получится фейл
[19:56:18] Indy vx: это нужно мониторить подобно BlockInput()
[19:56:26] Indy vx: токо посложнее будет
[19:56:37] Indy vx: эта часть есчо не проработана до конца
[19:57:33] *: древнейшие методы вот http://www.symantec.com/connect/articles/windows-anti-debug-reference
[19:58:38] Indy vx: тоже что и у авера
[19:58:52] *: он любитель попиздить )
[19:59:03] Indy vx: понарипать он любитель
[19:59:09] *: ага
[19:59:10] *: :D
[19:59:16] Indy vx: мою методы с рпл спиздил сука
[19:59:17] *: авер сука
[19:59:22] Indy vx: да!
[19:59:38] *: в печь на уголь

Видос http://yadi.sk/d/PpoQffNqBUXJ9

4361_23.10.2013_EXELAB.rU.tgz - Flt.zip

| Сообщение посчитали полезным:

SReg

Посмотрите плз что там были за инфоклассы, я в дельфях не шарю

| Сообщение посчитали полезным:

Dr0p запилите тоже самое без дрова, тогда будет профит

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Без дрова никак, можно релочить нэйтив и копию его юзать(я так часто делаю, даже в сабже), так что юзермодные патчи в этом случае идут лесом.

| Сообщение посчитали полезным:

Dr0p пишет:
Без дрова никак, можно релочить нэйтив и копию его юзать(я так часто делаю, даже в сабже), так что юзермодные патчи в этом случае идут лесом.
Смотря что патчить. Вплоть до 8 винды можно подменить адрес в PEB, который указывает на sysenter/int 2e, и тогда сколько не релоцируй ntdll, все равно будет дергаться этот адрес.

Code:

1. 0040111C  |> \6A 00         PUSH 0                                   ; /pLength = NULL
2. 0040111E  |.  6A 04         PUSH 4                                   ; |Bufsize = 4
3. 00401120  |.  8D85 ECFCFFFF LEA EAX,[LOCAL.197]                      ; |
4. 00401126  |.  50            PUSH EAX                                 ; |Buffer => OFFSET LOCAL.197
5. 00401127  |.  6A 1F         PUSH 1F                                  ; |ProcessInfoClass = ProcessDebugFlags
6. 00401129  |.  6A FF         PUSH -1                                  ; |ProcessHandle = INVALID_HANDLE_VALUE
7. 0040112B  |.  E8 DA000000   CALL <JMP.&ntdll.ZwQueryInformationProce ; \NTDLL.ZwQueryInformationProcess
8. 00401130  |.  83BD ECFCFFFF CMP DWORD PTR SS:[LOCAL.197],0
9. 00401137  |.  75 01         JNE SHORT 0040113A <<<
10. 00401139  |.  CC            INT3

И что вот это? Читай мануалы, там не 0 если отладчик присутствует, так же как и у ProcessDebugPort

| Сообщение посчитали полезным:

Veliant пишет:
Смотря что патчить. Вплоть до 8 винды можно подменить адрес в PEB, который указывает на sysenter/int 2e, и тогда сколько не релоцируй ntdll, все равно будет дергаться этот адрес.
Так это актуально только для WOW64

| Сообщение посчитали полезным:

Veliant

> Вплоть до 8 винды можно подменить адрес в PEB, который указывает на sysenter/int 2e

Это что то новое

Быть может вы имеете ввиду wow, тогда какие есчо сисколы. Да и на x86 при трейсе без ядра не получится фикс например регистров после сискола:



> И что вот это? Читай мануалы, там не 0 если отладчик присутствует, так же как и у ProcessDebugPort

А что не правильно собственно ?



| Сообщение посчитали полезным:

Установил этот плагин. Не работает опция "protect DRx", при установке этой опции хард брейки продолжают обнаруживаться. Даже при включенной галочке программа без бряков отказывается запускаться.

Вот скрин моих настроек и ошибки http://floomby.ru/s2/2W2FTK
Версия 1.85 у меня.

| Сообщение посчитали полезным:

kola1357
проверьте строчку в ollydbg.ini, значение должно быть = 1

ну или используйте сочетание фантика со стронгом
поновее ScyllaHide Anti-Anti-Debug попробуйте

| Сообщение посчитали полезным: gloom

Jaa пишет:
проверьте строчку в ollydbg.ini, значение должно быть = 1
У меня 0 было, исправил, не помогло.
Да тут еще моя прога упакована telock 0.98, а он вроде использует отладочные регистры под свои потребности, я так понял установка галочки в плагине просто нарушает его работу.
Но хотелось бы узнать, возможно ли пользоваться хард бряками, если прога сама использует отладочные регистры ?

Про стронг там ведь нет защиты от обнаружения хард бряков. Плагин Scylahide поставил, мне кажется довольно хороший, багов пока в нем не обнаруживал.

| Сообщение посчитали полезным:

не помню точно, но вроде юзать их не выйдет еще в обсиде такая же хрень.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
вроде юзать их не выйдет
Тогда нужно сделать предупреждение пользователю при выборе этой галочки. Да кстати а почему галки про драйвер, последние внизу нельзя выбрать, я на них нажать не могу, они вроде enabled=false.

| Сообщение посчитали полезным:

У меня оля с плагином Phantom стала намертво зависать, даже диспетчер задач открыть невозможно, только перезагрузка помогает. Глюк происходит при включенной галочке Hook RDTSC, остальные галочки сняты, других антиатладочных плагинов не установлено. Система вин7 32 бита. Подскажите, можно ли это как-то исправить ? Я отлаживаю проги, пакованные аспротектом, а он детектит оля через RDTSC, поэтому эта галочка нужна, но тогда оля зависает часто.

| Сообщение посчитали полезным:

kola1357 пишет:
пакованные аспротектом, а он детектит оля через RDTSC
В аспре(если мне не изменяет память) весь антидебаг это IsDebuggerPresent.

| Сообщение посчитали полезным:

SReg пишет:
весь антидебаг это IsDebuggerPresent.
Нет, у меня программа не запускается только с галочкой IsDebuggerPresent.

Добавлено спустя 1 час 11 минут
Ну а по поводу глюков в плагине с RDTSC довольно серьезных кстати, что скажет разработчик ?
Проблему нужно решать ведь.

Добавлено спустя 2 часа 42 минуты
И еще один глюк в Phantom обнаружил. При установке опции "Custom handler exception", программа при загрузке в отладчик не останавливается на точке входа, а сразу запускается. При чем появляется именно окошко программы, а не сообщение об обнаружении отладчика. А почему так происходит, эта галочка вроде скрывает от обнаружения, но программа не тормозит на точке входа.

| Сообщение посчитали полезным:

SReg пишет:
В аспре(если мне не изменяет память) весь антидебаг это IsDebuggerPresent.

нет

| Сообщение посчитали полезным:

А автор плагина тут бывает ? Хочется по поводу бага услышать пояснения.

| Сообщение посчитали полезным:

бывает, канешн. версия с драйвером не поддерживается нужно использовать последнюю версию.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
нужно использовать последнюю версию.

можно подумать, что она поддерживается

| Сообщение посчитали полезным: _FUCKER_

Dr0p

От модератора: Забанен за неоднократное оскорбление участников форума да и просто достал уже, отдохни пару дней.

Gideon Vi

проект перестал был интересен возможно под 2-ую ольку перепишу.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
отдохни пару дней

пару лет, пожалуйста. Дичайше утомил любитель мухоморов ректально.

Hellspawn пишет:
проект перестал был интересен

объяснимо. Досадно только, что молодые и дерзкие эстафету принять не могут.

| Сообщение посчитали полезным:

У меня вопрос не совсем по части плагина, но по сути косвенно с ним связанный.Собственно, на win7 x64 плагин работает, но единственное, что драйвер, который находится в ресурсах плага, не стартует (лог показывает результат =-1, то есть он не загружен).Отсюда назрел вопрос, собственно, как можно скрыть отладку от RDTSC не driver-based методом и какие проты до сих пор его юзают ?

| Сообщение посчитали полезным:

ThugboyZ пишет:
который находится в ресурсах плага, не стартует (лог показывает результат =-1, то есть он не загружен)
Дрова обкатаны только для WinXP,
ThugboyZ пишет:
как можно скрыть отладку от RDTSC
Юзай виртуальную тачку с хрюшой и непарь себе мозг
ThugboyZ пишет:
какие проты до сих пор его юзают
Themida,VMprot

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: ThugboyZ

ThugboyZ пишет:
как можно скрыть отладку от RDTSC не driver-based методом и какие проты до сих пор его юзают ?
Asprotect использует эту технику еще, можешь попробовать еще Olly Advanced, там представлена такая зашита.
Ну и тоже советую использовать виртуальную машину с хп сп2.
На 7, а особенно на 64 битной, плагины глючат сильно, да и сам отладчик, но это понятно, он разрабатывался для 32 битных систем.

| Сообщение посчитали полезным:

Ошибка в плагине.
Microsoft(R) Windows(R) Server 2003, Enterprise Edition
Version 5.2.3790 Service Pack 2 Build 3790

Message= [PhantOm_error] > Unable hook GetTickCount

GetTickCount
77E619D1 > /EB 07 JMP SHORT kernel32.77E619DA
77E619D3 |F3: PREFIX REP: ; Superfluous prefix
77E619D4 |90 NOP
77E619D5 |90 NOP
77E619D6 |90 NOP
77E619D7 |90 NOP
77E619D8 |90 NOP
77E619D9 |90 NOP
77E619DA \8B0D 2403FE7F MOV ECX,DWORD PTR DS:[7FFE0324]
77E619E0 8B15 2003FE7F MOV EDX,DWORD PTR DS:[7FFE0320]
77E619E6 3B0D 2803FE7F CMP ECX,DWORD PTR DS:[7FFE0328]
77E619EC ^ 75 E5 JNZ SHORT kernel32.77E619D3
77E619EE A1 0400FE7F MOV EAX,DWORD PTR DS:[7FFE0004]
77E619F3 F7E2 MUL EDX
77E619F5 C1E1 08 SHL ECX,8
77E619F8 0FAF0D 0400FE7F IMUL ECX,DWORD PTR DS:[7FFE0004]
77E619FF 0FACD0 18 SHRD EAX,EDX,18
77E61A03 C1EA 18 SHR EDX,18
77E61A06 03C1 ADD EAX,ECX
77E61A08 C3 RETN

| Сообщение посчитали полезным:

neprovad пишет:
Microsoft(R) Windows(R) Server 2003, Enterprise Edition
Version 5.2.3790 Service Pack 2 Build 3790

Message= [PhantOm_error] > Unable hook GetTickCount
У меня на 2k3 SP2 GetTickCount фантомом тоже не хукается. Впрочем, это не шибко критично-жить можно.

| Сообщение посчитали полезным:

А от FindWindow он не прячет? Ольга 1.10, фантик 1.85. И есть ли возможность добавить?

| Сообщение посчитали полезным:

-Sanchez- пишет:
А от FindWindow он не прячет?
Внимательней надо быть - опция "change Olly caption"

-----
IZ.RU

| Сообщение посчитали полезным:

некропостеры, меняет только заголовок окна, для остального можно просто пропатчить олли на предмен смены имен классов, там не сложно.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

А что сразу некропостеры? А остальные плагины будут работать после патча? Я, помнится, один раз так напатчил, что половина плагинов и скрипты не работали

| Сообщение посчитали полезным: