Подскажите, пожалуйста, как скрыть плагины ollydbg от обнаружения программой ? Слышал, что сейчас уже многие разработчики делают защиту, которая находит эти плагины. То есть сам отладчик не обнаруживается, плагины его защищают, а сами видны. Подскажите, что сделать, чтобы их скрыть.

| Сообщение посчитали полезным:

kola1357 пишет:
сам отладчик не обнаруживается
Ну так перемести плагины в другое место.

| Сообщение посчитали полезным:

ThugboyZ пишет:
Ну так перемести плагины в другое место
Плагины находятся в одной папке, а отладчик в другой. А чем это поможет ? Я так понял, что программа для обнаружения плагинов запущенных будет использовать findwindowa для обнаружения по имени или классу. Или есть другие варианты ?

| Сообщение посчитали полезным:

вопросы конкретные задавайте, а то слухи какие-то одни и гадание

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Многие мощные плагины, такие как Phantom, StrongOD для обеспечения защиты ольки используют в комплекте свой драйвер, который как и все остальные может использовать символьные ссылки. Это первый вариант. Из собственного опыта скажу - так Themida обнаруживает SoftIce. Этот говнопрот детектит плаг Stronga и Phantom'a по имени драйвера по-умолчанию. У меня была тоже проблема с детектами, но благо разработчики плагов позаботились об этом моменте. Имена драйверов этих плагинов могут изменяться в файле OllyDgb.ini, так как они там создают секцию для своих настроек. Меняй соответствующее поле на свое значение - и вперед.

| Сообщение посчитали полезным:

Hellspawn пишет:
вопросы конкретные задавайте
Как скрыть плагины ollydbg ? Каким образом их может обнаружить программа ? Я так понимаю, что обнаружение может быть по окну только ?

Добавлено спустя 1 минуту
Rainbow пишет:
Имена драйверов этих плагинов могут изменяться в файле OllyDgb.ini
Попробовал изменить Hideod на другое имя, но при запуске отладчика, в этом файле создалась запись с оригинальным именем плагина, хотя саму длл плагина тоже изменил на другое имя.

Добавлено спустя 13 минут
И еще у меня попутно вопрос. Есть программа, упакованная Acprotect, я запустил Api Monitor, скачивал с краклаба эту софтину, пытаюсь посмотреть, какие апи функции использует программа для дальнейшей отладки, но она при запуске закрывает Api Monitor. Полагаю, что обнаруживает по окну или имени процесса. Вот отсюда вопрос. Как это решить ? Как можно изменить класс программы ? Можно ли это сделать в Restorator ? И есть ли еще варианты обнаружения апи шпиона ?

| Сообщение посчитали полезным:

kola1357 пишет:
Попробовал изменить Hideod на другое имя, но при запуске отладчика, в этом файле создалась запись с оригинальным именем плагина, хотя саму длл плагина тоже изменил на другое имя.

Не совсем понял, что ты изменял ? Я поставил себе этот плаг, но что-то записи в конфиге соответствующей не увидел. Там похоже дров не используется. А вот файл плагина переименовывать незачем

Добавлено спустя 1 минуту
kola1357 пишет:
И еще у меня попутно вопрос. Есть программа, упакованная Acprotect, я запустил Api Monitor, скачивал с краклаба эту софтину, пытаюсь посмотреть, какие апи функции использует программа для дальнейшей отладки, но она при запуске закрывает Api Monitor. Полагаю, что обнаруживает по окну или имени процесса. Вот отсюда вопрос. Как это решить ? Как можно изменить класс программы ? Можно ли это сделать в Restorator ? И есть ли еще варианты обнаружения апи шпиона ?

Мониторы так же по дрову детектятся - ApiMon.sys и FileMon.sys.

| Сообщение посчитали полезным:

kola1357 вариантов есть море, все зависит от фантазии. обычно по заголовкам/классам окна. по имени файла, по наличию различных строк в памяти процесса и т.д.

нужно отлаживать сам файл и смотреть как он детектит, а не заниматься гаданием.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
обычно по заголовкам/классам окна
Я тоже так думаю, а как изменить класс окна программы ? Это можно сделать в рестораторе ? Хочу отредактировать имя и класс апи монитора для его защиты от обнаружения.

| Сообщение посчитали полезным:

Rainbow

> Многие мощные плагины, такие как Phantom, StrongOD



- детект SHDE, мотор предназначен для обнаружения аверов(полностью юзермодный)

Добавлено спустя 12 минут


- и стронг пропалился.

| Сообщение посчитали полезным: Abraham

Был такой тест, назывался что-то вроде ARTeam extreme anti-debug tester, так вот в нем, одним из методов детекта было следующее: он считывал все загруженные библиотеки памяти каждого процесса и затем проверял название функций экспорта, тут хоть запереименовывайся, поэтому я патчил саму олю и каждый плагин, чтобы изменить название экспортируемых/импортируемых функций. В этом нет ничего сложного.

Кстати говоря на тот момент моя Оля проходила совершенно все тесты(их было вроде 112), кроме одного, где анти отладка считывала название ресурсов каждой запущенной программы и по ним детектила отладчик

| Сообщение посчитали полезным:

TryAga1n пишет:
поэтому я патчил саму олю и каждый плагин, чтобы изменить название экспортируемых/импортируемых функций. В этом нет ничего сложного.
Можешь скинуть эту пропатченную олю ? И расскажи, пожалуйста, как это делать, мне интересно в плане образования)

| Сообщение посчитали полезным:

Dr0p хватит уже пихать свою хрень в каждый топик, тут она явно не к месту, как и весь пост.
когда уже мир увидит что-нибудь дельное, что откомпилируется без приема психотропных средств?

kola1357 можно пропатчить класс окна, это можно сделать в WinHex например или запатчить код создания окна в программе.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: ClockMan

Hellspawn

Как раз таки в тему. Спросили как детектить. У нас так паляться ваши поделки. Даже не лазя в ядро. Понапишут уг, потом палится детектится

| Сообщение посчитали полезным:

Dr0p пишет:
Многие мощные плагины

Ты хочешь опровергнуть и доказать ?

Dr0p пишет:
детект SHDE, мотор предназначен для обнаружения аверов(полностью юзермодный)

Твой мотор годится только говно в кадушке месить

Dr0p пишет:
- и стронг пропалился.

Юзермодный двиг.. ))) А че мне стоит сисколл сразу дернуть в юзермоде из своего кода ? )))))) Как будет вызов будет задетекчен твоим мотором ? )))

| Сообщение посчитали полезным:

kola1357 пишет:
Подскажите, пожалуйста, как скрыть плагины ollydbg от обнаружения программой ?
Прочитав всю тему до данного места я нихера не понял, где ссылка на программу или хотя бы чем она упакована.

Как скрыть плагины Ollydbg-не использовать плагины вообще, делать все ручками в отладчике. Самый банальный™ и универсальный™ способ.

| Сообщение посчитали полезным:

Rainbow пишет:
Мониторы так же по дрову детектятся - ApiMon.sys и FileMon.sys.
Проверил это, поставил бряк на CreateFileW, программа действительно проверяет при запуске драйвера софтайса, регмона, файлмона, но вот Apimon прога не пыталась открыть через эту функцию. Api monitor закрывается только при попытке открыть в нем программу, если программу просто запустить, а монитор запущен, то монитор не закрывается.
Hellspawn пишет:
можно пропатчить класс окна, это можно сделать в WinHex например или запатчить код создания окна в программе.
Про WinHex можешь рассказать как это сделать ? Просто поиск по строкам заголовка окна ничего не дал.


ELF_7719116 пишет:
где ссылка на программу или хотя бы чем она упакована.

Упакована Acprotect.
Вот ссылка на прогу http://yadi.sk/d/G-ztlJlZRd9a9 Взял ее из уроков Нарвахи.
ELF_7719116 пишет:
не использовать плагины вообще, делать все ручками в отладчике
А если прога будет палить программные бряки, как вы поставите точку останова на все известные апи функции антиотладки ? Аппаратных бряков только 4.

Добавлено спустя 19 минут
Hellspawn, в отладчике выяснил, что программа через функцию Process32Next определяет родителя своего и сранивает его Pid с explorer, а если не совпадают, то есть под отладкой, то она закрывается, поэтому она при попытке ее открыть под монитором ведет себя также. А как это победить интересно, пропатчить ее не получается, потому что она расшифровывает код, где вызов Process32Next, то есть если пропатчить и сохранить, то при расшифровке она не расшифрует этот код правильно и не запуститься.

| Сообщение посчитали полезным:

kola1357 пишет:
Проверил это, поставил бряк на CreateFileW, программа действительно проверяет при запуске драйвера софтайса, регмона, файлмона, но вот Apimon прога не пыталась открыть через эту функцию. Api monitor закрывается только при попытке открыть в нем программу, если программу просто запустить, а монитор запущен, то монитор не закрывается.

Дада все правильно ! Regmon и FileMon. Просто запамятовал.

kola1357 пишет:
Hellspawn, в отладчике выяснил, что программа через функцию Process32Next определяет родителя своего и сранивает его Pid с explorer, а если не совпадают, то есть под отладкой, то она закрывается, поэтому она при попытке ее открыть под монитором ведет себя также. А как это победить интересно, пропатчить ее не получается, потому что она расшифровывает код, где вызов Process32Next, то есть если пропатчить и сохранить, то при расшифровке она не расшифрует этот код правильно и не запуститься.

Ахах ))) попробуй переименуй EXE apimona в Explorer.exe и открой прогу под монитором

| Сообщение посчитали полезным: kola1357

xADT eXtensible Anti-Debug Tester
http://www.woodmann.com/collaborative/tools/index.php/XADT_eXtensible_Anti-Debug_Tester

Вот, кому интересно, можете потестить свою ольку на пробив. От простого IsDebuggerPresent, до наркоманских методов как в пепке. Естественно на 7й венде не взлетит

| Сообщение посчитали полезным:

Rainbow

> Ты хочешь опровергнуть и доказать ?

Доказано скрином.

> А че мне стоит сисколл сразу дернуть в юзермоде из своего кода ? )))))) Как будет вызов будет задетекчен твоим мотором ? )))

О чём вы говорите

> Твой мотор годится только говно в кадушке месить

Понятно. Типичный нуб и троль.)

| Сообщение посчитали полезным:

Dr0p пишет:
Доказано скрином.

Ну да, я вижу, ты обливаешь грязью эти вещи, однако САМ ИМИ ПОЛЬЗУЕШЬСЯ. Что еще сказать ? ))) Раз тобой доказано, что говно, в таком случае я могу посоветовать тебе убить у себя имеющиеся говноплаги и юзать конкретно твою фирменную анти-антидебаг аппаратуру. А раз нет - тогда выруби свой патефон и прояви хотя бы какое-то уважение к людям, которые его писали, В ТОМ ЧИСЛЕ И ДЛЯ ТЕБЯ.

Dr0p пишет:
О чём вы говорите

Да то и говорю, что мне для того что бы твой мотор нагнуть под прямым углом не составит труда, если вызывать не нативные api из ntdll, а юзать свою альтернативу на базе SYSCALL/INT 2Eh

Dr0p пишет:
Понятно. Типичный нуб и троль.)

А тут ты попутал. И в ветке про твой говнокод местное население тебе это отчетливо дало понять. Ну остается только направить по этому адресу.

| Сообщение посчитали полезным:

Rainbow

Я не пользуюсь, а запустил оных для теста. Я сайд юзаю.

> Да то и говорю, что мне для того что бы твой мотор нагнуть под прямым углом не составит труда, если вызывать не нативные api из ntdll, а юзать свою альтернативу на базе SYSCALL/INT 2Eh

Так я и говорю что вы не понимаете что это за мотор

| Сообщение посчитали полезным:

Dr0p, если хочешь раз и навсегда всем все доказать - запили мотор в виде плагина к ольге. Я знаю, что тебе не надо. Но зачем-то надо раз за разом разводить срач. Сделай плаг.

kola1357 пишет:
Слышал, что сейчас уже многие разработчики делают защиту, которая находит эти плагины

Слышал он. Такой детект только в писькомерных тестах для ольги встречался.

_ODBG_ и с dbghelp разберись.

Чувствую себя старым.

| Сообщение посчитали полезным:

Gideon Vi

Ничего я не хочу доказать, а показал что конвеерные говноподелки в драйверах паляться элементарно по первой stdcall-процедуре.

| Сообщение посчитали полезным:

"говноподелка" - это ваш никому не нужный двиг, который юзают только в воображении.
и чтобы я больше не видел высеров на эту тему в непрофильных топиках.

з.ы. скомпильте уже что-нибудь годное для народа.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Dr0p пишет:
Ничего я не хочу доказать

В таком случае перестань влазить везде со своим мега-двигом, который всех нагибает. У тебя есть свой форум, есть топик на нашем форуме - этого должно хватать.
Предложение модераторам: на корню останавливать срач, связанный с двигом Dr0p в непрофильных темах.

| Сообщение посчитали полезным:

Так если SHDE запалил всё, то значит не рабочий по вашему и не годный ?

Про годность аверы тоже так думают.

> В таком случае перестань влазить везде со своим мега-двигом, который всех нагибает.

Тут его вроде есчо не обсуждали. И поправка - со своими. Их много разных всяких.

ps. Я понял. Это такой рефлекс, если Инде выложил скрин с логом в олли, то думают что это вывел сайд

- нет, это совершенно иной мотор и между собой они никак не связаны.

| Сообщение посчитали полезным:

Dr0p
Релизь свой меганепалящийся плаг, который обходит все уровни программно-аппаратного детекта и дает по щам всем цепям протопакеров, обфускаторов и крипторов, а то у тебя в каждой теме "чесание языком" и чествование своего самолюбия, а кое где и затупочность.Если ты сделаешь это, то я тебе заплатить готов :D

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Gideon Vi пишет:
_ODBG_ и с dbghelp разберись.
Поясните, что вы тут хотели сказать, я вас не понял.

Добавлено спустя 3 часа 4 минуты
А есть плагины, которые патчит апи функцию только перед ее вызовом, а после вызова восстанавливают ее первоначальную форму ? Потому что есть программы, которые любят проверять код внутри этих функций, то есть плагин функцию пропатчил, она выполнилась и вроде все окей, а дальше проверка на оригинальность первых байтов функции, а тут мы горим.

| Сообщение посчитали полезным:

я до конца не стал все делать, но для меня очевидно, что нужно захукать kernel32.Process32Next, чтобы тот:
1) не выдавал ольку
2) когда апи выплюнет свой процесс, вот в этой замечательной структуре

поменять pid родителя (он будет ольковским) на pid експлора. Больше ничего особенного.
зы: я поначалу подумал, Ацпротект, как секуром, pid палит через NtQueryInformationProcess, но потом таки доехал в чем дело.

| Сообщение посчитали полезным: