Написал я намедни свой плагин к Olly, вобщем эта версия пререлиз ;-)
и ТРЕБУЕТСЯ ТЕСТИНГ, особенно интересно будет ли работать в NT, XP и 2k3,
в 2000 я уже проверил, в 9x плагин работать не будет, и даже не будет загружен,
также он не будет загружен если его не устроит что нибудь в коде скрываемой
функции - это такая защита от глюков и падений ;-).

_1372809205__HideDebugger.rar

Если не качается переложу когда поправят форум..

Ну и чё, никто не попробовал?

Asterix
Хех работает :)
XP+SP1
Пробовал на аспре 1_24rc4
и на 1_30

Только ИМХО надо дать пользователю выбор, пользоватся не пользоваться, а то каждый раз его килять из папки не удобно...

Спасибо!

nice

это усложнит плагин, да и зачем выбирать, если не глючит - пусть работает :-)

вот ещё, кому неначем потестировать маленькая программка по обнаружению отладчика уровня приложения.

_592632150__IsDebuggerPresent.rar

Сабж обновился :-)
Теперь размер стал ещё меньше ;-)

944862175__HideDebugger101.zip

Сабж опять обновился :-)
Кому не трудно, протестируйте пожалуйста на 2k(sp4), XP(sp2), 2k3

Комментарии?

_1368105966__HideDebugger12.rar

„Только ИМХО надо дать пользователю выбор, пользоватся не пользоваться, а то каждый раз его килять из папки “

У меня (под хрюшей) "килять" не надо, галочки снял и перезапустил - плагин отключается. Тестовый примерчик уже показывает наличие дебаггера.

Asterix „Комментарии?“

В хозяйстве всё пригодиться :) , на 2k(sp4) работает , на NT4.0 не хочет , "стандартный" IsDebuggerPresent плугин отрабатывает на 4.0

bogrus
> "стандартный" IsDebuggerPresent плугин отрабатывает на 4.0

Мой плагин перед тем как применить защиту проверяет код API функции IsDebuggerPresent(в 2k/XP/2k3 она одинаковая), а вот про NT я ничего не знаю, "стандартный" этого не делает, поэтому может налететь в следующих версиях винды..
но если бы под рукой была NT то добавить сигнатуру труда не составило бы, хотя... я кажется придумал решение.

Там ecx заюзали :)

77F0688C > 64:A1 18000000   MOV EAX,DWORD PTR FS:[18]
77F06892   8B48 30          MOV ECX,DWORD PTR DS:[EAX+30]
77F06895   0FB641 02        MOVZX EAX,BYTE PTR DS:[ECX+2]
77F06899   C3               RETN

bogrus
> Там ecx заюзали :)

Ага, понятно. Спасибо.
Подумаю, может сделаю проверку валидности сигнатуры отключаемой..

ЗЫ: если вдруг достанет MessageBox при сохранении настроек, то можно применить секретный ключ в ini ;-)
NoWarning=1

А как он прячет? Только fs:18 (IsDebuggerPresent), и т.д. меняет?

А можно вопросик на близкую тему ?
Как то решил сравнить содержимое PEB под Олей и без нее (в XP sp1). Получилось, что кроме байта BeingDebugged устойчиво различаются указатели PEB.Ldr (смещение 0Ch):
0С: 00241E90 - без отладчика
0С: 00241EA0 - под OllyDbg => +10h
Кто что думает по этому поводу ? Может ось все таки вставляет ссылочки на дебаггер в контекст процесса ?