Ergebnis 1 bis 15 von 15
Moin,
Ich habe ein kleines Problem. Der Titel ist ja schon recht Aussagekräftig.
Das ganze sieht folgendermaßen aus:
Ich starte das Programm das ich Cracken möchte, dieses merkt aber das Ollydbg läuft. Folglich startet das Programm nicht.
Ich denke viele sind dem Problem schon einmal gegenüber gestanden.
In Google finde ich zu der Thematik nichts, anscheinend Suche ich nach den falschen Stichworten. :(
Wie kann ich das ganze nun umgehen, so das dass Programm Ollydbg nicht mehr erkennt?
lg
Du musst mal gucken ob du im Code irgendwelche Aufrufe zu IsDebuggerPresent findest.
Ansonsten ganz glaub ich auch noch genug Plugins mit denen man OllyDbg verstecken kann.
Lg
jack4flash (15. July 2013)
Stealth64 deckt so gut wie alles was man braucht ab
Runterladen (tuts4you z.B) in den Ordner in dem Olly auch liegt und dann über den Reiter Plugins in Olly konfigurieren..
jack4flash (15. July 2013)
Es gibt viele Möglichkeiten einen Debugger zu finden. Ich würde das mit dem Hide Plugin versuchen. Wenn das jedoch nicht funktioniert musst du dich wohl mit der AntiDebug Protection auseinander setzten (; .
Hier noch ein paar snips um Debugger zu detecten um klar zu machen wie vielfältig sowas aussehen kann :
Code:unsigned long NtGlobalFlags = 0; __asm { mov eax, fs:[30h] mov eax, [eax + 68h] mov NtGlobalFlags, eax } if(NtGlobalFlags & 0x70) { cout << " - Debugger was found\n"; } else { cout << " - Debugger was not found\n"; }Code:BOOL IsRemoteDbgPresent = FALSE; CheckRemoteDebuggerPresent(GetCurrentProcess(), &IsRemoteDbgPresent); if(IsRemoteDbgPresent) { cout << " - Debugger was found\n"; } else { cout << " - Debugger was not found\n"; }Code:char IsDbgPresent = 0; __asm { mov eax, fs:[30h] // PEB structure address mov al, [eax + 02h] // BeginDebugged variable address mov IsDbgPresent, al } if(IsDbgPresent) { cout << " - Debugger was found\n"; } else { cout << " - Debugger was not found\n"; }Code:if(IsDebuggerPresent()) { cout << " - Debugger was found\n"; } else { cout << " - Debugger was not found\n"; }Code:// // Function NtQueryInformationProcessTest // Return: true - if debugger exists; false - if debugger does not exist; // bool NtQueryInformationProcessTest() { typedef NTSTATUS (WINAPI *pNtQueryInformationProcess) (HANDLE ,UINT ,PVOID ,ULONG , PULONG); HANDLE hDebugObject = NULL; NTSTATUS Status; // Getting function address pNtQueryInformationProcess NtQueryInformationProcess = (pNtQueryInformationPro cess) GetProcAddress(GetModuleHandle(TEXT("ntdll.dll")), "NtQueryInformationPro cess" ); Status = NtQueryInformationProcess(GetCurrentProcess(),7, &hDebugObject, 4, NULL); if(Status == 0x00000000 && hDebugObject == (HANDLE)-1) return true; else return false; }Code:// // Function ParentProcessTest // Return: true if debugger exists; false if debugger does not exist. // bool ParentProcessTest() { DWORD ExplorerPID = 0; GetWindowThreadProcessId(GetShellWindow(), &ExplorerPID); DWORD CurrentPID = GetCurrentProcessId(); DWORD ParentPID = 0; HANDLE SnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); PROCESSENTRY32 pe = { 0 }; pe.dwSize = sizeof(PROCESSENTRY32); if(Process32First(SnapShot, &pe)) { do { if(CurrentPID == pe.th32ProcessID) ParentPID = pe.th32ParentProcessID; }while( Process32Next(SnapShot, &pe)); } CloseHandle(SnapShot); if(ExplorerPID == ParentPID) return false; else return true; }
Поступки всегда говорят больше чем слова.
jack4flash (15. July 2013)
Ok - das Board war gerade offline, deswegen konnte ich mich nicht wieder melden.
Ich hab das HidePlugin runtergeladen. Das ganze problem ist nur, das in der Toolbar der Menüpunkt "Plugins" deaktiviert zu sein scheint.
Ich habe in den Optionen meinen Plugin Ordner ausgewählt, an dem sollte es eig. nicht liegen. Weiß vlt. jemand woran es liegen könnte?
Viele der Plugins funktionieren mit der Version 2.0 nicht
Benutz die 1.x, die hat ohnehin keine merklichen Nachteile
Hast du unter Optionen den Pluginordner gesetzt?
@MindfreaK gabs nicht auch noch einen Wert in der PEB?
Ich verstehe aber nicht warum es nicht funktioniert. Trotzdem mal danke bis hierhin für die Hilfe.
Ich werds mal mit Version 1.x versuchen.
Sry habe ich überlesen :D
NtGlobalFlags ( wie oben )
BeginDebugged ( wie oben )
HeapFlags
Code:unsigned long HeapFlags = 0; __asm { mov eax, fs:[30h] // PEB structure address mov eax, [eax+18h] // ProcessHeap structure address mov eax, [eax+0Ch] // HeapFlags field address mov HeapFlags, eax } if(HeapFlags & 0x20) { cout << " - Debugger was found\n"; } else { cout << " - Debugger was not found\n"; }
Поступки всегда говорят больше чем слова.
Leider funktioniert bisher kein einziges Plugin. Hab Sie auch mit Version 1.1 ausprobiert.
Kann mir vlt. jemand sein Plugin hochladen und die Versions Nummer sagen, unter der das Plugin funktioniert?
jack4flash (16. July 2013)
Ich traue mich fast nicht zu fragen, aber du entpackst die Dlls schon oder ? :P
[Nur Registrierte Mitglieder können diesen Inhalt sehen. ] das Stealth64 Plug..
Runterladen, entpacken, dll in den selben Ordner wie die OllyExe.
Zur Not die Ollydbg.ini löschen und Olly Neustarten wenn dus irgendwo mit den Einstellungen vermurkst hast..
Läuft bei mir bis win7x64
jack4flash (16. July 2013)
Natürlich Entpack ich es und verschieb es in den Plugin-Ordner...
Super, jetzt hab ich die .ini Datei gelöscht - jetzt wird die Plugin Toolbar nicht mehr angezeigt... und ja ich hab den Plugin Ordner wieder ausgewählt.
Ich weiß wirklich nicht was du falsch machst. Funktioniert es denn jetzt?
Falls nicht kann ich es mir über Teamviewer ansehen wenn du magst
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
