Pitanje:
Postoje li dodaci za OllyDbg protiv otklanjanja pogrešaka / protiv otklanjanja pogrešaka koji rade sa sustavom Windows 7 / NT 6.x?
David S.
2014-01-20 01:49:40 UTC
view on stackexchange narkive permalink

Naslov govori sve. Pokušavam RE video igricu koja je prepuna Themide, a kad priložim OllyDbg, ona se sruši. Kada koristim XP, mogu koristiti StrongOD i PhantOm, ali niti jedan od njih ne funkcionira ispravno u sustavu Windows 7. Mogao bih koristiti XP stroj putem RDP-a, ali moj Win 7 stroj je mnogo manje iritantan za upotrebu.

Ima li netko prijedloga?

Možete pogledati [uberstealth] (https://code.google.com/p/uberstealth) i popraviti / prilagoditi njegov izvorni kod.
Pet odgovori:
#1
+14
Polynomial
2014-01-20 03:56:54 UTC
view on stackexchange narkive permalink

Nisam siguran je li još uvijek u blizini, ali Themida je nekad imala komponentu upravljačkog programa u načinu jezgre koja je olakšavala neke zaštitne značajke. Mogao bi se instalirati na vaš sustav i ukloniti program za ispravljanje pogrešaka.

Moj bi prvi prijedlog bio isprobati program za otklanjanje pogrešaka imuniteta. To je vilica Olly koja je dizajnirana za uvredljivo ispravljanje pogrešaka i razvoj iskorištavanja, ali možda ima dovoljno drugačiju bazu koda i dovoljno stvari protiv uklanjanja pogrešaka ugrađenih u pomoć.

Možete koristiti i Cheat Engine zajedno sa svojim modulom modula DBVM kernel. Obično se koristi za varanje u igrama, ali CE zapravo ima vrlo potpuno opremljen program za ispravljanje pogrešaka i neke lijepe skrivene značajke. Komponenta upravljačkog programa ponovno implementira hrpu osnovnih API-ja za Windows, kao što je OpenProcess.

Ako pokretački program u načinu jezgre nije još uvijek prisutan, onda to može biti samo nešto poput trika OutputDebugString koji uzrokuje pad. Ako cilj koristi TLS povratne pozive za izvršavanje koda prije WinMaina, mogao bi srušiti program za uklanjanje pogrešaka prije nego što dođete do njega. Možete pokušati urediti Ollyjeve mogućnosti tako da se prelome na točki ulaska u sustav, a ne na WinMain.

Uspjeli ste me pročitati kao knjigu; Zapravo hakiram popularni internetski MMO, MapleStory. Trebam program za pronalaženje pogrešaka kako bih pronašao CRC metode provjere i zaobišao ih. Nisam znao za DBVM modul, djeluje kao šarm - prijelomne točke i sve! CE program za ispravljanje pogrešaka me pomalo zbunjuje, ali polako učim. Hvala, hvala, hvala, iako, MS nema pojma da je priložen CE. Jedna se gadna stvar dogodila prvi put kad sam se vezao. BSOD bih; ovo se jednom dogodilo i s Ollyjem. Mislim da je to metoda protiv uklanjanja pogrešaka; BSOD poruka je BAD ACCESS / segfault.
Heh, sjećam se MapleStory hakova ... još u ono vrijeme kad sam se družio s dečkima koji su za to napisali originalne gravitacijske i vakuumske hakere. Nevjerojatno loš dizajn za igru ​​za više igrača.
Sigurnost je postala bolja samo zato što je Themida postala bolja. Teško je pravilno otpakirati novu verziju Themida sa svojim CISC VM. Možete ga otpakirati, radije, LCF-AT ima neke ODBGskripte za pomoć, ali pokretanje je druga priča. :(
Mislim da su samo preskočili sve to i krenuli ravno na zakrpe u memoriji i analizu padova kako bi razradili kako zaobići njihove provjere integriteta.
@Polynomial: znatiželjan zbog izjave o imunitetu koja je račvanje OllyDbg-a. Je li OllyDbg FLOSS u nekom trenutku pa se mogao račvati?
@0xC0000022L Koliko znam, Immunity Inc je u nekom trenutku licencirao kôd od Oleha Yuschuka ili su ga sve hakirali na razini montaže. Volio bih vjerovati da je ovo drugo, samo za badassery.
Možete jednostavno omogućiti VEH program za ispravljanje pogrešaka u Cheat Engineu preko DBVM-a. DBVM je prema mom iskustvu vrlo nepouzdan i uzrokuje BSOD-ove.
#2
+3
mrexodia
2014-03-24 20:21:51 UTC
view on stackexchange narkive permalink

Možete isprobati TitanHide. To je pokretački program koji skriva način rada jezgre za x86 i x64 OS. Ona ima sljedeće značajke:

  - ProcessDebugFlags (NtQueryInformationProcess) - ProcessDebugPort (NtQueryInformationProcess) - ProcessDebugObjectHandle (NtQueryInformationProcess) - DebugObject (NtQueryObject) - SystemKernelDebuggerInformation (NtQuerySystemInformation) - NtClose (STATUS_INVALID_HANDLE iznimka) - ThreadHideFromDebugger ( NtSetInformationThread)  

TitanHide je otvoreni izvor i relativno je jednostavno dodati nove udice. Primijetite da morate onemogućiti PatchGuard i potpisivanje upravljačkih programa kako bi ispravno radio na OS x64. Pogledajte ovdje za više informacija.

Uredi: Želio bih naglasiti da TitanHide više nije u održavanju i ne preporučuje se za upotrebu u proizvodnim okruženjima. Uvijek koristite VM. Za jednostavne programe također bih preporučio ScyllaHide

Vaša je veza http://fyyre.ivory-tower.de/ mrtva ..
Evo arhivirane poveznice: `https: //web.archive.org/web / * / fyyre.ivory-tower.de`
#3
+1
bleh
2014-03-24 22:35:02 UTC
view on stackexchange narkive permalink

To bi mogao biti poseban slučaj, ali ako imate Windows 7 x64, pogledajte Stealth64. Obično dobro funkcionira za sve što na to bacim.

#4
+1
Mate
2014-08-11 16:34:42 UTC
view on stackexchange narkive permalink

Trebali biste isprobati ScyllaHide. Ovo je otvoreni izvor, aktivno razvijen dodatak za uklanjanje pogrešaka. U njemu postoji mnogo opcija skrivanja.

#5
+1
Gdogg
2016-11-12 00:07:47 UTC
view on stackexchange narkive permalink

Predlažem da pogledate x64dbg. Unatoč onome što glupo ime može sugerirati, postoji 32-bitna verzija. Ako to maknem s puta, pokušao bih ScyllaHide.



Ova pitanja su automatski prevedena s engleskog jezika.Izvorni sadržaj dostupan je na stackexchange-u, što zahvaljujemo na cc by-sa 3.0 licenci pod kojom se distribuira.
Loading...