# новый способ ловли fs

Twister, kaspersky
Может стоит для начала скачать HideDebugger и тупо поставить все галочки, включая Unhandled exception tricks Конечно не всякий крутой хакер догадается это сделать, а вот юным пионерам и догадываться незачем - они видимо без заумных раздумий просто ставят все галки во всех плагинах и ваши "суперзащиты" клеят ласты

PS: Чего там Asterix в HideDebugger'е наворотил, лучше у него самого спросить

 

Так решает? Проясни...

 

Asterix

ага, вот и автор
да, мышиный примерчик обламывается при вкл. Unhandled exception tricks

 

leo

да там кода практически нет, не то что в олли эдвансед

 

Asterix
Так все же... кода не надо, дай теорию. Что такого натворил, что система вызывает обработчик под дебугером?

 

система просто не видит отладчика - вот и вся теория

 

Ну это понятно. Если б видела, то обработчик не запустила бы. Может достаточно поправить заветное поле в PEB? Или закрыть хэндл дебуг-объекта?

 

Asterix

лучше меньше, да лучше
Не знаю, что в олли эдвансед галка на UnhandledExceptionFilter должна делать, но на мышином примере от нее толку ноль

 

kaspersky
не мог бы ты 7z в zip сверху заворачивать, а то у меня почему-то не качается

 

PaCHER
> И как его создать если у нас необрабатываемое исключение под отладкой.
перехват KERNEL32!UnhandledExceptionFilter
ядро передает ему бразды правления, ну а мы тут уже можем...
если в начале функции стоит CCh, значит - это отладочный процесс или к нам приаттачилась какая сцука. кстати, хороший способ обнаружить аттач

 

Twister
> Нужно по хэндлу определить, какой процесс отлаживается.
вот очень надежный и простой способ быстро определить отлаживается ли процесс или нет (разумеется, против ice и syser'а это не срабатывает)

Код (Text):

1. ReadProcessMemory(hProcess, &UnhandledExceptionFilter, buf,1,&n);
2. if (*buf==0xCC) proc_is_debugged;

leo
> Unhandled exception tricks
ладно, гляну как там это обрабывается...
и придумаю как это обойти противостояние меча и щита продолжается

 

бряк на чтение/запись этой ячейки, или она юзаецо тож на каждом шагу?

 

Asterix
протестировал твой плагин! работает!!! и как работает!!!
кстати, вот тут мой древний детектор айса. если хочешь - поиграйся
сорцы не прилагаю, т.к. кода там всего несколько строк...

 

kaspersky

так в том же экзекрипторе столько трюков против ollydbg понасобрано, и многие с этого форума,
никто никак не возмется все описать в подробностях

для олли не катит, а айс я не рискнул запускать, т.к. на компе Сталкер установлен,
а на нем старфорс %)

вот несколько "тестилок"

 

вот еще одна

 

Asterix
вот, лови anti-anti-версию, которая палит твой плагин.
палит, конечно, по тупому (по умному через кросс-референсы я его потом палить буду, а потока сойдет и так).
брал эту верию:
https://www.openrce.org/downloads/download_file/238

попробуй заюзать мой пример под olly.

 

kaspersky

последняя тут http://wasm.ru/forum/viewtopic.php?pid=118380#p118380

а зачем его палить?
но мы все-равно пофиксим в будущей версии, которая уже на пол пути

 

Asterix
версия 124 палится так же как и 123
я не знаю чего ты там накодишь в следующей версии,
но я все равно ее обломаю. как на счет такого кода,
который ее обнаруживает?

Код (Text):

1. x = GetProcAddress(GetModuleHandle("KERNEL32.DLL"),"GetLogicalDrives");
2. for (a=0;a<0x69;a++)
3. {
4.     if ( ( *((DWORD*)x)==0x15FFFF6A ) &&
5.       ( *((WORD*)(x+8))==0x0C085) &&
6.       (  *(DWORD*) ( *(DWORD*)(x+4) ) < GetModuleHandle("NTDLL.DLL") ))
7.         MessageBox(0,"a new version of hidedebugger is detected","hello,asterix!",0);
8.     x++;
9. }

ну, вообще-то, ты можешь кое-что предпринять, но ценой потери универсальности и усложения анти-анти-отладочного кода
попробуй обломать мой fs-catcher-c.exe )

 

kaspersky

В общественных топиках это не обсуждают. В конечном счете ломается олька, только зачем открыто об этом кричать

 

kaspersky

не важно, после выделения памяти и записи кода можно поставить атрибут
на выделенную память PAGE_EXECUTE_READ и твой fs-catcher-b уже ничего не ловит
Можно и проверку атрибутов памяти обломать

ну так поэтому большинство плагинов ушли в ring-0

кстати, не скачивается