Evitando Olly al cargar

Iniciado por x64core, 14 Mayo 2012, 01:11 AM

0 Miembros y 1 Visitante están viendo este tema.

tincopasan

$EDU$ estoy seguro! busca sobre armadillo, muchas versiones la implementan

Flamer

si hay programas asi ya me toco una ves un crackme asi pero en algun formateo que ledi ami pc se fue.
no cargaba el olly para cuando me marcaba terminate no cerraba el olly finalisaba el crackme  pero entonces como seria reverseado
no me acuerdo si era crackme o malware pero asia eso
por otro lado los malware me atocado hecharles un vistaso y bienen en (los  hechos en vb6) pcode 

TruenoCaos

Yo me acuerdo de haber leido hace tiempo un articulo que hablaba de esto mas o menos, y lo que hacian (si no lo entendi mal) es un hook a las apis del windows que suelen usar los debuggers, y lo que hacan ahi es no dejar ejecutarlos (se basaban en que primero se ejecuta el programa y luego se ejecuta el debgger) pero puede que una version modificada de esto puede servir:

Por ejemplo la primera vez que se ejecuta deja el hook y no lo libera, o cualquier otra idea

x64core

hey encontre una referencia, hace exactamente lo que mencionaba:

http://pastebin.com/raf7K6AF

tincopasan

ok! era tlscallback nomás, si revisas tutoriales de unpack de execryptor verás que no es dificil de evitar para los que debugean.

x64core

Cita de: tincopasan en 14 Mayo 2012, 04:20 AM
ok! era tlscallback nomás, si revisas tutoriales de unpack de execryptor verás que no es dificil de evitar para los que debugean.

nomás? xD
pero que más hay? :P
creí que era algo dificil xD

tincopasan

lo de díficil es siempre dependiendo del cracker (o el que debugea) en mi caso sería imposible saltar el tls pero los que saben lo pasan hasta con los plugins de olly y a mano cambian hasta el oep jeje.

$Edu$

Pero entonces una cagada el Olly xD o tal vez son todos los debuggers asi.. no se, digo porque pensaba que el olly solamente leia el ejecutable, sin ejecutar nada, traduciendo el codigo maquina a ASM y organizando todo ahi, pero nada de ejecutar. Digo esto porque no puede que pase esto que dicen si no se ejecuta nada, una cosa es leer y otra ejecutar. Es como que me estan diciendo que Papa Noel existe de verdad xD Que alguien me explique por favor xD

tincopasan

a ver, el olly no ejecuta nada solo, tratando de ser claro te diré que el olly se detiene en el oep porque pone solo un bp en esa dirección, los tls estan antes del oep! si sabes donde comienzan los tls pones un bp y tampoco se ejecutan solos! es que el olly viene por defecto para detenerse en el oep, pero el plugin ollyadvanced le agrega la función para que se detenga en los tls.
Sino analiza el archivo con lordpe por ejemplo y tambien sabras las direccion antes del oep donde estan los tls

tincopasan

ah y me olvide con el propio olly modificas donde queres que se detenga! en la opción debuggins options > events  hay tres opciones 1) system (para tls por ejemplo) 2(entry point) la más usada y Winmain (se usa en algunos packers)