Vraag:
Zijn er OllyDbg anti-debug / anti-anti-debug plug-ins die werken met Windows 7 / NT 6.x?
David S.
2014-01-20 01:49:40 UTC
view on stackexchange narkive permalink

Titel zegt het allemaal. Ik probeer een videogame RE te maken die vol zit met Themida en zodra ik OllyDbg koppel, crasht het. Als ik XP gebruik, kan ik StrongOD en PhantOm gebruiken, maar geen van beide werkt goed onder Windows 7. Ik zou de XP-machine kunnen gebruiken via RDP, maar mijn Win 7-machine is veel minder irritant om te gebruiken.

Heeft iemand suggesties?

U kunt een kijkje nemen op [uberstealth] (https://code.google.com/p/uberstealth) en de broncode repareren / aanpassen.
Vijf antwoorden:
Polynomial
2014-01-20 03:56:54 UTC
view on stackexchange narkive permalink

Ik weet niet zeker of het er nog is, maar Themida had vroeger een stuurprogramma in de kernelmodus dat enkele van de beschermingsfuncties mogelijk maakte. Het zou heel goed op uw systeem kunnen worden geïnstalleerd en de debugger kunnen opvangen.

Mijn eerste suggestie zou zijn om Immunity Debugger te proberen. Het is een Olly-vork die is ontworpen voor aanstootgevende foutopsporing en ontwikkeling van exploit, maar het kan een codebasis hebben die anders genoeg is en genoeg ingebouwde anti-anti-foutopsporing om te helpen.

Als alternatief zou je kunnen gebruiken. Cheat Engine samen met zijn DBVM-kernelmodusmodule. Het wordt meestal gebruikt om vals te spelen in games, maar CE heeft eigenlijk een zeer complete debugger en een aantal leuke stealth-functies. Het stuurprogramma-onderdeel implementeert een aantal Windows-kern-API's opnieuw, zoals OpenProcess.

Als het stuurprogramma voor de kernelmodus niet er nog is, dan is het misschien gewoon iets zoals de OutputDebugString-truc die de crash veroorzaakt. Als het doel TLS-callbacks gebruikt om code uit te voeren vóór WinMain, kan het debugger crashen voordat u erbij komt. Je zou kunnen proberen om Olly's opties te bewerken zodat het breekt op het systeemingangspunt in plaats van WinMain.

Je hebt me als een boek kunnen lezen; Ik hack eigenlijk de populaire online MMO, MapleStory. Ik heb een debugger nodig om de CRC-controlemethoden te vinden en ze om te leiden. Ik wist niets van de DBVM-module, het werkt als een zonnetje - breekpunten en zo! De debugger van CE brengt me een beetje in de war, maar ik leer langzaam. Dank je wel, dank je wel, MS heeft geen idee dat CE eraan vast zit. Er gebeurde echter iets vervelends toen ik me voor het eerst aanmeldde. Ik BSOD'd; dit gebeurde ook een keer met Olly. Ik denk dat het een anti-anti-debug-methode is; BSOD-bericht was SLECHTE TOEGANG / segfault.
Heh, ik herinner me MapleStory-hacks ... vroeger ging ik om met de jongens die de oorspronkelijke zwaartekracht- en vacuümhacks ervoor schreven. Ongelooflijk slecht ontwerp voor een multiplayer-game.
De beveiliging is alleen maar beter geworden omdat Themida beter is geworden. Het is bijna onmogelijk om de nieuwe versie van Themida goed uit te pakken met zijn CISC VM. Je kunt het uitpakken, in plaats daarvan heeft LCF-AT enkele ODBG-scripts om te helpen, maar het laten draaien is een ander verhaal. :(
Ik denk dat ze dat allemaal hebben overgeslagen en meteen doorgingen naar patching in het geheugen en crashanalyse om uit te vinden hoe ze hun integriteitscontroles konden omzeilen.
@Polynomial: benieuwd naar de verklaring dat immuniteit een vork is van OllyDbg. Was OllyDbg FLOSS ooit, dus het kon worden gevorkt?
@0xC0000022L Voor zover ik kan zien, heeft Immunity Inc op een gegeven moment de code van Oleh Yuschuk gelicentieerd, of ze hebben het allemaal gehackt op assembly-niveau. Ik zou graag willen geloven dat het het laatste is, alleen voor de badassery.
Je zou VEH-debugger gewoon kunnen inschakelen in Cheat Engine via DBVM. De DBVM is in mijn ervaring erg onbetrouwbaar en veroorzaakt BSOD's.
mrexodia
2014-03-24 20:21:51 UTC
view on stackexchange narkive permalink

Je zou TitanHide kunnen proberen. Het is een stuurprogramma voor het verbergen van de kernelmodus voor zowel x86- als x64-besturingssystemen. Het heeft de volgende eigenschappen:

  - ProcessDebugFlags (NtQueryInformationProcess) - ProcessDebugPort (NtQueryInformationProcess) - ProcessDebugObjectHandle (NtQueryInformationProcess) - DebugObject (NtQueryInformationDebugger (NtQueryObject) (uitzondering) - SystemInformation (uitzondering). NtSetInformationThread)  

TitanHide is open-source en het is relatief eenvoudig om nieuwe hooks toe te voegen. Merk op dat u PatchGuard en het ondertekenen van stuurprogramma's moet uitschakelen om correct te werken op een x64 OS. Kijk hier voor meer informatie.

Bewerken: ik zou erop willen wijzen dat TitanHide niet langer wordt onderhouden en niet wordt aanbevolen voor gebruik in productieomgevingen. Gebruik altijd een VM. Voor eenvoudige toepassingen zou ik ook ScyllaHide

aanbevelen
Uw link http://fyyre.ivory-tower.de/ is dood ..
Hier is de gearchiveerde link: `https: //web.archive.org/web / * / fyyre.ivory-tower.de`
bleh
2014-03-24 22:35:02 UTC
view on stackexchange narkive permalink

Het kan een speciaal geval zijn, maar als je Windows 7 x64 gebruikt, kijk dan eens naar Stealth64. Het werkt meestal prima voor alles wat ik eraan gooi.

Mate
2014-08-11 16:34:42 UTC
view on stackexchange narkive permalink

Probeer ScyllaHide. Dit is een open-source, actief ontwikkelde anti-anti-debug-plug-in. Er zijn veel opties om te verbergen.

Gdogg
2016-11-12 00:07:47 UTC
view on stackexchange narkive permalink

Ik raad aan om eens naar x64dbg te kijken. Ondanks wat de domme naam doet vermoeden, is er is een 32-bits versie. Met dat uit de weg zou ik ScyllaHide eens proberen.



Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 3.0-licentie waaronder het wordt gedistribueerd.
Loading...