 Autor
|
Tema: Evitando Olly al cargar (Leído 10,057 veces)
|
x64core
 Desconectado
Mensajes: 1.908
|
Hola a todos, bueno quisiera saber si alguien sabe como evitar el olly al cargar un programa... veran estoy programando un app y quiero agregarle un poco de proteccion nada más, yo e visto por experiencia que algunas aplicaciones que tienen proteccion al abrirlas con olly y empieza a cargar este genera una exception y cuando esa app corre sin debugger, se ejecuta normal  como es implementado eso? alguien sabe? y seguramente tambien saben la solucion pero solamente quisiera saber como hacen eso, porque no quiero agregarle una masiva proteccion a mi app solo por curiosidad y para poder aprender gracias cualquier respuesta |
|
|
|
|
En línea
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
Hay muchas formas de implementar protecciones antidebug, y formas de vencerlas! si lees tutoriales de unpack, muchos de ellos las tienen, es más, mirá el plugin ollyadvanced y allí con solo un tilde las evita, lo bueno es que está el nombre de muchas! busca en google o msdn y verás como se implementan. Las más conocidas y fáciles son IsDebugPresent y FindWindow
|
|
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
si amigo yo conozco varias formas de proteccion basicas seguramente, y algunas ideas que e aprendido aquí en el foro y me han enseñado usuarios de aquí mismo, pero mi pregunta es algo especifica porque por lo menos de las formas que sé ninguna hace eso que quiero hacer y como nosé como se le llama a esa proteccion que quiero ( nose si es dificil ) nose como buscarla en google si me dan el nombre o alguna referencia claro que buscare  |
|
|
|
|
En línea
|
|
|
|
$Edu$
Desconectado
Mensajes: 1.842
|
Pero si estas diciendo que quieres que haga algo tu programa si detecta que esta siendo debuggeado.. ya te dijieron para eso.. usas la api IsDebugPresent o FindWindow. Hacen eso que queres, si no te sirven esas entonces deci que queres hacer eso con un metodo mas dificil de burlar.
Fijate que IsDebugPresent en el tutorial de Ricardo lo usa como ejemplo cuando tienen esa api que se cierra la aplicacion, pero si sos vos el programador podes hacer que en vez que se cierre que haga otra cosa
|
|
|
|
|
En línea
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
busca api GetTickCount devuelve el valor en milisegundos que ha pasado desde que ejecutas la aplicación, la implementas en tu code y si hay demora seguro te estan debugeando la app, como dije antes IsDebuggerPresent es la más fácil, implementala y ejecutala en olly sin plugins y verás que la aplicación no corre.
Con un poco más de experiencia instala un SEH (structured Exception handler).
Como hacerlo depende del lenguaje de programación que uses, ahí no puedo ayudarte porque solo programo en visual basic y soy malisimo.
En todo caso deberías ser más preciso en que queres hacer sino son esas las funciones que pueden servite.
|
|
|
|
|
En línea
|
|
|
|
Flamer
Desconectado
Mensajes: 1.052
crack, crack y mas crack...
|
otra cosa puedes hacer para que no pongan break point en dicha api que finalise si intentan poner uno pero para eso ya hay plugins se me hase
|
|
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Gracias chicos a todos pero parece que me e dado mal a entender, joder que no encuentro el bicho que hacia lo que quiero aver explico el metodo que quisiera aprender consiste en esto, yo tenia al bicho ( el programa malware ) cuando lo habría el olly y seleccionaba el malware mientras cargaba el malware el olly buscando referencias y todas esas cosas que hace el olly llegaba a un punto donde generaba la exception SIN haber terminado la carga osea no llegaba al entrypoint y estar listo para empezar a debuggear como una app normal, antes de que terminara de cargar el olly el malware se detenia el olly por que habia una excepcion y ya no podia continuar :| me entiendo?  en cambio cuando lo ejcutaba sin depurador el bicho se ejecutaba sin problemas |
|
|
|
|
En línea
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
sino me equivoco te referis a que tenía funciones tls callback, se ejecutan antes de llegar al oep! execriptor trae ese tipo de funciones
|
|
|
|
|
En línea
|
|
|
|
$Edu$
Desconectado
Mensajes: 1.842
|
Ah, vos decis mucho antes entonces, ni cargar te deja.. eso ni idea tengo. Pero si no se ha ni ejecutado como es posible que pase eso? no creo que sea "codigo malicioso" del malware que haga esto, sino que talvez olly no puede debuggear algunos programas, como si no los reconociera, alguien con experiencia hablara xD
Tincopasan.. estas seguro que se puede hacer eso que dices? con el uso de esa api GetTickCount.. mientras esta parado el programa.. no se pararia el conteo? siguiendo luego que le des a Play y entonces cuando llegue a tu verificacion en el codigo, el conteo sera el mismo de siempre, sin que se de cuenta que fue parado en algun momento.
|
|
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Gracias tincopasan por la informacion parece que sí es esa CREO si logro implementarla en algun lenguaje revivo el post y publico el codigo, cualquier otra respuesta ayudaria  @$Edu$, si era malware sucede que de enojado los elimine porque no los podía depurar xD |
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
olly
« 1 2 »
Ingeniería Inversa
|
jeduardocxp
|
13
|
7,161
|
10 Marzo 2004, 15:34 pm
por salvaos
|
|
|
|
olly
Ingeniería Inversa
|
GliXeN
|
2
|
2,289
|
1 Julio 2007, 14:28 pm
por Shaddy
|
|
|
|
run con olly
Ingeniería Inversa
|
tazzmk
|
1
|
2,259
|
16 Octubre 2007, 04:56 am
por tena
|
|
|
|
Evitando el apocalipsis zombi (de los servidores)
Noticias
|
wolfbcn
|
0
|
1,464
|
15 Junio 2016, 02:25 am
por wolfbcn
|
|
|
|
DivxTotaL sigue evitando el bloqueo de las operadoras con el estreno de un ...
Noticias
|
wolfbcn
|
0
|
6,400
|
20 Noviembre 2019, 21:28 pm
por wolfbcn
|
 |
