 |
eXeL@B —› Вопросы новичков —› olly dbg |
| Посл.ответ | Сообщение |
|
|
Создано: 21 апреля 2018 18:42 · Личное сообщение · #1 Здравствуйте я тут новенький.. Прошу сильно не пинать, постараюсь изложить суть вопроса адекватно.. Есть olly dbg 2.01, я скачал плагин сокрытия но он не полностью работает.. Т.к. я залез в процессы и там ollydbg.exe, меня это неустраивает. Как или чем залезть в "оли" и на вызове создания процесса подменить на например iss.exe? Программа на которую я нацелился оч сложна, но я иду мелкими шажками... И еще вопрос, эта шняга guard.exe грузит защиту, и в добавок создает защиту этой защиты  Она создает службу которая что то делает, я даже дамп снять не могу... Заранее благадарю...Добавлено спустя 5 минут Я пытался копировать "олли" и открывать в "олли" копию "олли" и "олли" зависает( Такое реально вообще делать?  |
|
|
Создано: 21 апреля 2018 19:43 · Личное сообщение · #2 Вот есть тема: |
|
|
Создано: 21 апреля 2018 20:01 · Личное сообщение · #3 Ничего там не увидел про изменение процесса olli |
|
|
Создано: 21 апреля 2018 20:12 · Личное сообщение · #4 vadimkaterson пишет: Ничего там не увидел Тебе плавно намекают, что по данному отладчику уже есть тема и вопросы связанные с ним будет правильнее обсуждать там. |
|
|
Создано: 21 апреля 2018 21:08 · Личное сообщение · #5 Ясно, понял.. Добавлено спустя 2 часа 50 минут Тема там старая последний коммент в 2017 был, надеюсь кто то да ответит |
|
|
Создано: 05 мая 2018 12:04 · Личное сообщение · #6 Имхо оля или вообще отладчик слишком лакомый кусок для противодействия ей протекторами. Так что если пассажир совсем не хочет, можно воспользоваться другими вариантами. В моей практике было такое, что достаточно было остановить все потоки целевого процесса и уже спокойно аттачиться к нему олей, было такое, что при этом на основном потоке бряки все равно не работали, а со второстепенными нормально крокодил ловился. Можно снять дамп с работающего процесса (спасибо микрософт, в диспетчере задач они даже добавили для этого userdump), определиться в иде, куда бы ты хотел просунуть свои тентакли, потом: - запуск целевого процесса с флагом CREATE_SUSPENDED - установка в него перехватчика на LdrLoadDll - в этом перехватчике ожидание загрузки kernel32.dll и установка перехвата на GetModuleHandle - а в этом обработчике установка безусловного перехода на свой код с выводом в MessageBox'е например того, что бы ты хотел увидеть. Ну или просто мессаджбокс и дампишь процесс почти-в-точке-входа. смотря чего хочешь добиться. ----- 2 оттенка серого |
|
|
Создано: 05 мая 2018 13:54 · Личное сообщение · #7 vadimkaterson Если детекты не обходятся штатными средствами, то вы сами не справитесь. Слишком большой масштаб знаний необходим для отладки защиты, тем более палевом типо портов(олли етц). В таком случае следует не тратить время и вылажить цель в соотвествующую тему на анализ. Разумеется если не приват, в противном случае вы можите купить решение и время. ----- vx |
|
eXeL@B —› Вопросы новичков —› olly dbg |
Для печати