Evitando Olly al cargar

tincopasan · 14 Mayo 2012, 03:40 AM

$EDU$ estoy seguro! busca sobre armadillo, muchas versiones la implementan

Flamer · 14 Mayo 2012, 03:45 AM

si hay programas asi ya me toco una ves un crackme asi pero en algun formateo que ledi ami pc se fue.
no cargaba el olly para cuando me marcaba terminate no cerraba el olly finalisaba el crackme pero entonces como seria reverseado
no me acuerdo si era crackme o malware pero asia eso
por otro lado los malware me atocado hecharles un vistaso y bienen en (los hechos en vb6) pcode

TruenoCaos · 14 Mayo 2012, 03:46 AM

Yo me acuerdo de haber leido hace tiempo un articulo que hablaba de esto mas o menos, y lo que hacian (si no lo entendi mal) es un hook a las apis del windows que suelen usar los debuggers, y lo que hacan ahi es no dejar ejecutarlos (se basaban en que primero se ejecuta el programa y luego se ejecuta el debgger) pero puede que una version modificada de esto puede servir:

Por ejemplo la primera vez que se ejecuta deja el hook y no lo libera, o cualquier otra idea

x64core · 14 Mayo 2012, 04:16 AM

hey encontre una referencia, hace exactamente lo que mencionaba:

http://pastebin.com/raf7K6AF

tincopasan · 14 Mayo 2012, 04:20 AM

ok! era tlscallback nomás, si revisas tutoriales de unpack de execryptor verás que no es dificil de evitar para los que debugean.

x64core · 14 Mayo 2012, 04:23 AM

Cita de: tincopasan en 14 Mayo 2012, 04:20 AM
ok! era tlscallback nomás, si revisas tutoriales de unpack de execryptor verás que no es dificil de evitar para los que debugean.

nomás? xD
pero que más hay?

creí que era algo dificil xD

tincopasan · 14 Mayo 2012, 04:32 AM

lo de díficil es siempre dependiendo del cracker (o el que debugea) en mi caso sería imposible saltar el tls pero los que saben lo pasan hasta con los plugins de olly y a mano cambian hasta el oep jeje.

$Edu$ · 14 Mayo 2012, 04:38 AM

Pero entonces una cagada el Olly xD o tal vez son todos los debuggers asi.. no se, digo porque pensaba que el olly solamente leia el ejecutable, sin ejecutar nada, traduciendo el codigo maquina a ASM y organizando todo ahi, pero nada de ejecutar. Digo esto porque no puede que pase esto que dicen si no se ejecuta nada, una cosa es leer y otra ejecutar. Es como que me estan diciendo que Papa Noel existe de verdad xD Que alguien me explique por favor xD

tincopasan · 14 Mayo 2012, 04:55 AM

a ver, el olly no ejecuta nada solo, tratando de ser claro te diré que el olly se detiene en el oep porque pone solo un bp en esa dirección, los tls estan antes del oep! si sabes donde comienzan los tls pones un bp y tampoco se ejecutan solos! es que el olly viene por defecto para detenerse en el oep, pero el plugin ollyadvanced le agrega la función para que se detenga en los tls.
Sino analiza el archivo con lordpe por ejemplo y tambien sabras las direccion antes del oep donde estan los tls

tincopasan · 14 Mayo 2012, 05:03 AM

ah y me olvide con el propio olly modificas donde queres que se detenga! en la opción debuggins options > events hay tres opciones 1) system (para tls por ejemplo) 2(entry point) la más usada y Winmain (se usa en algunos packers)