[ANTI] IsOdbg() - Saber si estas siendo debuggeado por el OllyDebugger

Iniciado por Karcrack, 12 Marzo 2011, 13:45 PM

0 Miembros y 4 Visitantes están viendo este tema.

Edu

Yo no uso el ollydbg asique no te puedo discutir, pero me interesa el tema a ver si me puedes explicar.

Asique si yo meto ese codigo en mi malware, para q cuando este analizandose en ollybdg cierre todo, bloquee teclado, elimine los puntos de restauracion, elimine archivos importantes para el inicio de el SO, y se reinicie forzosamente.. ahi puedes hacer algo? Teniendo en cuenta q vs no sabias q tenia este codigo, q solo te darias cuenta al intentar analizarlo y como dije antes pasaria todo eso y entonces no podrias hacer nada, q podes hacer ahi?

Esq yo decia para q no lo analizen, ya q desp de eso como consigues el malware otra vez?

pd: Repito, no he usado olly pero se mas o menos para q sirve y lo mismo con los malwares, asique talvez estoy mal pero eso es lo q pense desde hoy, y seria lo q (aunque talvez de otra forma seguramente) karcrack penso.

raul338

Cita de: raul338 en 12 Marzo 2011, 14:05 PM
Y si cambian/desactivan esas lineas desde el ollydbg ? :xD (nunca lo he usado :P)

A eso me referia 43H4FH44H45H4CH49H56H45H(Codelive), Supongo que tienes 2 formas de debuguear, a mano (viendo linea por linea) y "ejecutando" cosa que ahi no te daras cuenta, y no hara nada "malo" para no levantar sospechas :P

Karcrack

Cita de: 43H4FH44H45H4CH49H56H45H en 20 Marzo 2011, 15:13 PM
Que mejor si haces un Crack Me y vemos que tan dificil puede ser quitar esta u otra protección.
No tiene sentido hacer un CrackMe si ya sabes la tecnica que utiliza para protegerse... la dificultad de este metodo reside en que es desconocido, por lo tanto tu nunca sabrias en que parte del codigo se hace la busqueda del OllyDbg... asi que no podras parchear :)
Respecto a las acciones... imagina que infecto el calc.exe inyectando codigo en el binario original... añado la comparacion y si no estamos en el olly busco otros ejecutables e infecto, pero si estamos en el olly ejecuto el calc.exe con normalidad...

43H4FH44H45H4CH49H56H45H

Cita de: XXX-ZERO-XXX en 20 Marzo 2011, 18:24 PM
Asique si yo meto ese codigo en mi malware, para q cuando este analizandose en ollybdg cierre todo, bloquee teclado, elimine los puntos de restauracion, elimine archivos importantes para el inicio de el SO, y se reinicie forzosamente.. ahi puedes hacer algo? Teniendo en cuenta q vs no sabias q tenia este codigo, q solo te darias cuenta al intentar analizarlo y como dije antes pasaria todo eso y entonces no podrias hacer nada, q podes hacer ahi?

Esq yo decia para q no lo analizen, ya q desp de eso como consigues el malware otra vez?



Este programa esta protegido por un par de packers que en cuanto detectan al olly, te hacen causan algunos daños y luego reinician la pc, ya lo modifique para que no haga cambios en mi SO y tampoco reinicie, solo me falta eliminar un par de llamadas y podre desempacarlo para modificarlo  :rolleyes: , como dije anteriormente los daños que cause no me preocupan en absoluto  :laugh:

Cita de: raul338 en 20 Marzo 2011, 18:31 PM
A eso me referia 43H4FH44H45H4CH49H56H45H(Codelive), Supongo que tienes 2 formas de debuguear, a mano (viendo linea por linea) y "ejecutando" cosa que ahi no te daras cuenta, y no hara nada "malo" para no levantar sospechas :P

Creo que en este caso debriamos dividir en dos tipos de análisis, puesto que si fuera un soft comercial obviamente yo notaria las diferencias cuando se ejecuta en Olly y cuando se ejecuta normalmente.

En caso de malware, la técnica cambia, puesto que para que harian un programa que haga nada o solo abra otro programa  ;D ademas de que una de las caracterisiticas de la mayoria de los malware's es tener el menor tamaño posible.

Cita de: Karcrack en 20 Marzo 2011, 20:24 PM
No tiene sentido hacer un CrackMe si ya sabes la tecnica que utiliza para protegerse...
Cita de: 43H4FH44H45H4CH49H56H45H en 20 Marzo 2011, 15:13 PMQue mejor si haces un Crack Me y vemos que tan dificil puede ser quitar esta u otra protección.

Cita de: Karcrack en 20 Marzo 2011, 20:24 PMla dificultad de este metodo reside en que es desconocido, por lo tanto tu nunca sabrias en que parte del codigo se hace la busqueda del OllyDbg... asi que no podras parchear :)

Hay cientos de programas con técnicas desconocidas pero igual se van rompiendo sus protecciones,el que sea desconocida no implica que no sea crackeable...
En el caso de Vb, es uno de los mas sencillos de debuggear, uso Olly como una herramienta secundaria (en vb) que utilizo solo para la modificación, antes puedo utilizar vb decompiler, p32dasm, etc...
Si utilizo un decompiler (que hay varios), ahi ya puedo saber las Api's que utiliza el programa y tener una aproximacion de que es lo que hace para luego debuggearlo con Olly, de ahi es pan comido.

Solo los packers pueden dar una mayor protección, pero igual pueden vencerse  :P

Cita de: Karcrack en 20 Marzo 2011, 20:24 PMRespecto a las acciones... imagina que infecto el calc.exe inyectando codigo en el binario original... añado la comparacion y si no estamos en el olly busco otros ejecutables e infecto, pero si estamos en el olly ejecuto el calc.exe con normalidad...

Tratandose de análisis de malware, en mi caso puedo utilizar regshot1_7_2, un fileSystemWatcher que tengo creado (uno en .NET, otro C++) con eso me bastaria para tener una aproximación de que hace el malware.


En conclusión primero debo saber que tipo de análisis hacer al programa, luego puedo descompilarlo para tener una aproximación de código, ejecutarlo para saber que cambios realiza en el sistema y por ultimo debuggearlo para modificar algunas cosas (si lo necesito). Esto puedo hacerlo en un VM o en mi mismo S.O. que esta preparado para eso, estos son algunos de los archivos que me toco analizar hace un tiempo para obtener el nivel de daño en un S.O.





Ninguno fue dificil  :laugh:

Saluos.

-R IP
:0100
-A 100 
2826:0100 MOV AH,09
2826:0102 MOV DX,109
2826:0105 INT 21
2826:0105 MOV AH,08
2826:0105 INT 21
2826:0107 INT 20
2826:0109 DB 'MI NICK ES CODELIVE.$' 
2826:0127 
-R BX
:0000
-R CX
:20
-N CODELIVE.COM
-W

Edu

Jeje, entonces como funciona la cosa? vs para analizar un programa q no sabes si es malware o solo un simple software.. lo ejecutas en una maquina virtual o analisas todo ahi. Pero te fuiste a un nivel mas avanzado a lo q pensaba yo xD
Yo decia alguien q tenga el olly en su propia pc ( no en una VM) y ponga a debuggear el programa y este realize todo lo q ya he dicho antes. Para eso decia q me podia servir a mi, para q no me analizen el malware, solo q si lo agarra un experto como vs ya se como ira.
Gracias por la leccion xD

Karcrack

43H4FH44H45H4CH49H56H45H a ver si tengo un rato durante la semana y te dedico un CrackMe :laugh:

43H4FH44H45H4CH49H56H45H

Siempre y cuando sea lo único que me dediques  :xD
Mejor si es de horas 4:00 - 8:00 (hora del foro), que es cuando toy en casa  :P
Saluos.

-R IP
:0100
-A 100 
2826:0100 MOV AH,09
2826:0102 MOV DX,109
2826:0105 INT 21
2826:0105 MOV AH,08
2826:0105 INT 21
2826:0107 INT 20
2826:0109 DB 'MI NICK ES CODELIVE.$' 
2826:0127 
-R BX
:0000
-R CX
:20
-N CODELIVE.COM
-W