elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)  (Leído 9,849 veces)
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
« en: 18 Enero 2013, 21:02 pm »

Bueno, tras investigar un poco he decidido recopilar las principales funciones para detectar si un programa está siendo debuggeado. Lo he programado todo bajo VB6 ya que es el único lenguaje que domino para éste tipo de cosas, así que estoy algo limitado, ahí va:



Hay programados 17 métodos para detectar a OllyDbg, la idea del proyecto es la siguiente:

  • Ejecutar DbgDetection.exe bajo Windows, sin debugger: Probar todos y cada uno de los botones, deberían detecter que NO hay debugger
  • Ejecutar DbgDetection.exe bajo un debugger OlyDbg sin plugins ni protecciones. Probar todos y cada uno de los botones y ver las funciones que detectan tu OllyDbg
  • Ejecutar DbgDetection.exe bajo un debugger OlyDbg con plugins y protecciones. Probar todos y cada uno de los botones y ver las funciones que detectan tu OllyDbg

La idea es ver como y cada uno de éstos métodos puede llegar a detectar un Debugger, así como comprobar si tu selección de plugins/protecciones mantienen a tu OllyDbg invisible.



Como yo lo he programado, he sido el primero en probarlo :P En un OllyDbg "limpio" he conseguido detectarlo en todas las funciones.
En mi OllyDbg con un par de pluguins he conseguido ocultarlo bastante, pero seguía siendo visible con algunas funciones.

Al final he terminado usando éstos plugins:



Con todos esos plugins activos, he conseguido poner invisible a OllyDbg en todas las funciones EXCEPTO en los Timming Methods.

Espero a ver si lo podéis probar para hacer entre todos un report sobre que funciones de detección son más eficaces. Si eso ya publicaré la función de algún método que queráis usar para vuestros crackme's

DOWNLOAD: http://www.mediafire.com/?r6j87t5ddac156m
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
« Respuesta #1 en: 18 Enero 2013, 21:05 pm »

Ojo, éste proyecto no lo he creado para que lo intentéis debuggear "a mano", no está pensado para eso. Las strings están puestas a pelo, las apis no están ocultas, no hay ningún método para finalizar el debugg (solo detecta), etc...

La idea es añadir alguna función como RaiseException o provocar un BSOD al saltar una de esas funciones en nuestros programas, para protegerlos. El proyecto es solo para testear el nivel de "invisibilidad" con el que trabajas cuando Debuggeas.
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
« Respuesta #2 en: 18 Enero 2013, 21:09 pm »

La idea es añadir alguna función como RaiseException o provocar un BSOD al saltar una de esas funciones en nuestros programas, para protegerlos.

Un BSOD??? No es "algo" extremo???

:xD :xD :xD
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
« Respuesta #3 en: 18 Enero 2013, 21:18 pm »

Un BSOD??? No es "algo" extremo???

Que va! por el momento las Timming Methods no he conseguido detenerlos con ningún plugin. Así que lanzamos BSOD al saltar el evento y ya verás como al cracker s ele pasan las ganas de seguir debuggeando xD

Por cierto, has probado el proyecto? Alguna de las funciones detecta tu debugger?

RtlSetProcessIsCritical + TerminateProcess / PostMessage WM_CLOSE / End / etc... = BSOD
« Última modificación: 18 Enero 2013, 21:20 pm por ||MadAntrax|| » En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
« Respuesta #4 en: 19 Enero 2013, 00:03 am »

actualmente en el depurador que uso, me detecta solo en 1 debido al combo
RaiseException , mas otros, no he probado en cambiar ningun codigo a mano, solo ir tildando o destildando opciones...

Código:
---------------------------
DbgDetection
---------------------------
Function: timeGetTime

Return value: 51

Debugger detected: YES
---------------------------
Aceptar  
---------------------------

Es el evo_dbg  con ciertas opciones de poison y otras marcadas.

saludos Apuromafo
« Última modificación: 19 Enero 2013, 00:52 am por apuromafo » En línea

Apuromafo
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
« Respuesta #5 en: 1 Marzo 2013, 23:07 pm »

Acabo de actualizar el programa, ahora se pueden testear todos los métodos de golpe, muestra en una ventana si el programa ha detectado un debugger en el entorno.

Y para zanjar este proyecto, dejo el source completo. Solo el plugin Phantom.dll y StrongOD.dll puede poner el OllyDbg invisible, a excepción de los timing methods, que no he logrado hacerles el baypass de forma automatizada. Si alguien conoce algún metodo para evitar la detección por timming, agradeceré que lo comparta.

De todas formas, no viene mal mirar estos metodos y aplicarlos a nuestros crackme's, ya que un cracker novatillo no sabrá saltarselos.



DOWNLOAD + SOURCE: https://mega.co.nz/#!I0gUARxa!HyYJ42pMteq9lRwgAsqTI0-qIpgH0XP6sPT5mSBmMtE
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
EscritoEstáSatanás

Desconectado Desconectado

Mensajes: 33


Ver Perfil
Re: Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
« Respuesta #6 en: 20 Marzo 2013, 23:41 pm »

Aunque yo no soy de esto de la ingenieria inversa, me gusta mucho ese proyecto y lo probare.

XD Solo con descargarme ese programa ollydbg 1.10.
En línea

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
« Respuesta #7 en: 6 Abril 2013, 00:47 am »

Le de "Run All Test" y me detectó QueryPerformanceCounter, el problema es que era la primera ejecución y ni el olly tenía abierto... ni ningún otro depurador.

Edit:
Lo que se me ocurre ahora, con sueño dolor de cabeza y todo la fiaca del mundo, es hacerle un hook (plugin para olly) a las funciones  de timming y devolver 0 o un valor bajo.

Nox.

« Última modificación: 6 Abril 2013, 00:53 am por Иōҳ » En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
« Respuesta #8 en: 26 Octubre 2013, 01:57 am »

Un programa derrotando todos esos plugins, testearlo con sus depuradores:
http://www.sendspace.com/file/7csso8

Si ningun depurador es detectado se mostrara un mensaje confirmandolo, de lo contrario no se mostrara nada.

-
Lo intente con todos los plugin publicos que conozco y todos fueron derrotados  :rolleyes:
Dan ganas de hacer un plugin para olly...

« Última modificación: 26 Octubre 2013, 03:13 am por x64Core » En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Proyecto: DbgDetections (Testea la dureza de tu OllyDbg)
« Respuesta #9 en: 26 Octubre 2013, 23:22 pm »

No sé qué plugines probaste, pero Olly pelado sólo con StrongOD no es detectado:


Quizás no probaste todas las configs?

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines