Мож есть у кого список известных, можно даже и не известных ) багов\косяков в olly 1.10 и патчи к ним или что-т вроде этого. Как-то косяк с плагинами, где только первые десять плагинов идут с цифрами и т.д.
В идеале конешно описание бага\косяка - оффсет смещение, где он фикситься . Некоторые я думаю подобным сами занимались...
Многое ollyadvanced фиксит, правда там косяк есть - чтение с диска по 15мб ежесекундно идёт, как-то это напрягает. Да и самому интересно разобраться. Мож дело и до своей сборки ольки дойдёт ). Есть конечно куча готовых сборок, но не везде всё пофиксено - доработано.

ЗЫ. Странно, что у креклаба нету своей сборки, тут же много мозговитого народа, сборка могла бы полуться просто аццкая.

Типо
ШАПКА.
Последнее обновление 29.03.08. Патчить ручками придёться . WinUpack фикс вроде как не нужен, ибо NumOfRva всё лечит.
rapidshare.com/files/103335687/ollydbg_bugs_29.03.08_.7z

FPU Bug, (два варианта решения)
NumOfRva Bug
WriteMemmory and ReadMemmory
IgnoreExportTable
OutputDebugString
Plugins Number Fix
Symbols Bug
WinUpack
WindowsTitle & ClassName (+ CPUTitle & CPUClassName)
ChangeINIFileName (где меняется имя ini файла)

| Сообщение посчитали полезным:

я когда то для себя делал для интереса.
Что то сам догадался, что то утянул у других. Потом перестал дурью маятся и добавлял прямо в олю безо всяких бэкап патчей.
Большого смысла кста не вижу, сё равно каждый делает для себя, но раз хочешь - не жалко...
Короче в атаче оля на данный момент (руссифицирована) + 2 птч из старых страданий.

ps. опять атачи перестали цепляться.
dump.ru/files/o/o6112294947/

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Ок, спасибо. Вечером заценю.
Ещё вопрос : какой плагин поддерживает остановку на TLS, кроме ollyadvanced ?

Добавлено:
Поковырял OllyAdvanced(bugfixes). Я так понял не везде просто патчингом обойдешься, местами врезка кода понадобиться.
Тут как-то пролетал патч "Hellspawn's patch_for_olly" , что именно он фиксит? Вопрос наверное автору.

ЗЫ. Что-т оветов маловато.

| Сообщение посчитали полезным:

Вот, что у меня есть
FPU BUG
патчим 1:
004AA2E0 E967530000 JMP OLLYME.004AF64C
004AA2E5 90 NOP
004AA2E6 90 NOP
004AA2E7 90 NOP

патчим 2:
004AF64C 8B442404 MOV EAX,DWORD PTR SS:[ESP+4]
004AF650 8B542408 MOV EDX,DWORD PTR SS:[ESP+8]
004AF654 83EC04 SUB ESP,4
004AF657 3ED93C24 FSTCW WORD PTR DS:[ESP]
004AF65B 663E812424FEFF AND WORD PTR DS:[ESP],0FFFE
004AF662 663E810C240004 OR WORD PTR DS:[ESP],400
004AF669 3ED92C24 FLDCW WORD PTR DS:[ESP]
004AF66D 83C404 ADD ESP,4
004AF670 E973ACFFFF JMP Explorer.004AA2E8


PLUGIN NUMBER BUG
Сравнение файлов Explorer.exe и ORIGINAL.EXE
0009605B: 90 7D
0009605C: 90 29
00096068: FF 0A


SYMBOLS BUG
Сравнение файлов Explorer.exe и Symbols.EXE
00090709: 10 37
0009070A: 12 02
0009070B: 00 03
0009070C: 00 80
000907EC: 74 EB

| Сообщение посчитали полезным:

Archer
Ok. FPU BUG - я как раз пару минут назад его из фантома вытащил ).

Ток там FPU фиксится одним байтом:
7406 JE SHORT 004AA2F6
EB06 JMP SHORT 004AA2F6 FIX
Проверял на сплойте, полёт нормальный.

А у тебя фикс поболее будет...
Какой из них лучше ?


Добавлено.
Вот что пока есть:

FPU Bug
NumOfRva Bug
WinUpack
WriteMemmory and ReadMemmory
IgnoreExportTable
OutputDebugString
Plugins Number Fix
Symbols Bug
TLS BreakPoint Add

| Сообщение посчитали полезным:

А по кирилице есть в какие нибудь решения???
//мну насчёт текст_рашин_данных

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
А по кирилице есть в какие нибудь решения???
Выбрать шрифт не OEM

| Сообщение посчитали полезным:

[url]http://dump.ru/files/o/o73043337/[/url]
нашел вот у себя.. патчи старенькие, давно от куда то утащил

| Сообщение посчитали полезным:

Bronco пишет:
А по кирилице есть в какие нибудь решения???

правый клик - шрифты - выбрать что-нибудь с юникодом

| Сообщение посчитали полезным:

Bronco,

Может не совсем правильно понял, но если ты говоришь об отображении русских символов в окне данных и т.д., то зайди на вкладку Strings в настройках и отметь Allow diacritical symbols in strings.


4t,

Имхо, описание всех известных багов в одной теме может кому-нибудь пригодиться. Может есть смысл описать в первом сообщении эти вещи?

Вроде:

OutputDebugString
Вылет отладчика при обработке длинной строки %s%s...
00401000: 74 EB

| Сообщение посчитали полезным:

kioresk
Всё правильно, спасиб, но ...шрифты конечно ужс.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

kioresk пишет:
Имхо, описание всех известных багов в одной теме может кому-нибудь пригодиться. Может есть смысл описать в первом сообщении эти вещи?
Начтёт описания хз, а где пропатчить надо, можно. Ток аттачи не лепятся... пока так постить будем-с.

kioresk пишет:
OutputDebugString
Вылет отладчика при обработке длинной строки %s%s...
00401000: 74 EB
Этот баг я упоминал, и он уж точно не на entrypoint патчиться )).


Нашел причину почему у ollyadvanced(v1.26.beta.12) такое чтение с диска большое, она каждую миллисекунду настройки из конфига ститывает, вот. Решение, можно в плагине кильнуть из експорта функцию _ODBG_Pluginmainloop, измениться немного дизайн ), а в остальном вроде работает нормально, либо пропатчить ольку, вместо 1 миллисекунды поставить например 15:
0043960Ah

6A01 PUSH 01
6A20 PUSH 15 FIX

...

Наверное левые екжешники, с которыми олька ведёт себя не корректно, тож стоит выкладывать.

ЗЫ.
Лишнии посты пока стереть не могу, ошибка вылазит.
А шрифты в ольке и правда ужассс .

| Сообщение посчитали полезным:

Не знаю ребята. Но похоже с багами FPU вы перестарались.
Я отлаживал свою прогу, написанную на масме с использованием FPU в Olly.
В итоге при выполнении арифметических опреаций в сопроцессоре, с включенным
плугом отладчик порой выдавал всякую ерунду. В то время как без плуга, работал как часы.

Да и еще !К РАЗРАБОТЧИКАМ ОТЕЧЕСТВЕННОГО ПЛУГА!
Такой же баг в фантоме, как и в адвансед олли плуге. Я нашел его с
Process32Next. С этой функой можно сделать так, чтоб узнать работает
ли программа под дебуггером или нет. И даже можно узнать стоит ли в отладчике
данная защита от антиотладки.
Кароче Кто придумал возвращать значение этой функи, что процессов больше нет???
А теперь угадайте, как можно написать еще одну антиотладочную фишку?

| Сообщение посчитали полезным:

GodFather пишет:
Да и еще !К РАЗРАБОТЧИКАМ ОТЕЧЕСТВЕННОГО ПЛУГА!
Такой же баг в фантоме, как и в адвансед олли плуге. Я нашел его с
Process32Next. С этой функой можно сделать так, чтоб узнать работает
ли программа под дебуггером или нет. И даже можно узнать стоит ли в отладчике
данная защита от антиотладки.
Кароче Кто придумал возвращать значение этой функи, что процессов больше нет???
А теперь угадайте, как можно написать еще одну антиотладочную фишку?

очень рад за тебя ещё бы хотелось, конечно, чтобы ты по-русски разъяснялся, ибо я ничего не понял из
поста, совершенно.

GodFather пишет:
Не знаю ребята. Но похоже с багами FPU вы перестарались.
Я отлаживал свою прогу, написанную на масме с использованием FPU в Olly.
В итоге при выполнении арифметических опреаций в сопроцессоре, с включенным
плугом отладчик порой выдавал всякую ерунду. В то время как без плуга, работал как часы.

FPU не юзаю вообще, поэтому пропатчил так. Сделано против темиды, зачем включать опцию
на безобидной проге, не понятно.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

GodFather
FPU. Фантом один переход патчит и все, попробуй патч от Archer'а. И хотелось бы посмотреть на файлик с багом FPU.

| Сообщение посчитали полезным:

патч, который привёл арчи тоже мой просто другая версия.
с багом, бери последнии файлы от фемиды.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Привожу прогу, который писал сам на масме.
Хотел проверить антиотладку на OpenProcess, а в итоге обнаружил другой прикол.
Думаю сами разберётесь.
Просто в системе не может быть один процесс.

383f_28.03.2008_CRACKLAB.rU.tgz - AntiDebug.rar

| Сообщение посчитали полезным:

ну всё правильно, это из-за дебаг привелегий убери их и не будет проблем.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

идет проверка в коде.
00401050 . E8 33020000 call <jmp.&kernel32.Process32Next> ; \Process32Next
00401055 . 85C0 test eax, eax
А почему с плугом функа 0 возвращает?
Ведь спалить легко. Если ты про это говоришь.
И где эти привелегии вырубать?

| Сообщение посчитали полезным:

я про это:

0040106A > /6A 00 PUSH 0 ; |Inheritable = FALSE
0040106C . |68 3A0C0000 PUSH 0C3A ; |Access = CREATE_THREAD|VM_OPERATION|VM_READ|VM_WRITE|QUERY_INFORMATION|800
00401071 . |E8 06020000 CALL <JMP.&kernel32.OpenProcess> ; \OpenProcess


Process32Next - у меня 1 возвращает, всё норм

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
свой топ забросил???

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn а ты перезапусти прогу в отладчике, не закрывая его.
И запусти снова.
Я отключил все посторонние плагины, кроме фантома запустил прогу.
Все норм, появилось главное окно программы.
Перезапустил Ctrl+F2 и запустил снова.
После этого моя программа обнаруживает отладчик.
Мистика какая-то?

| Сообщение посчитали полезным:

Bronco пишет:
свой топ забросил???

нет, новая версия готова, нет времени оформить релиз.

GodFather пишет:
Hellspawn а ты перезапусти прогу в отладчике, не закрывая его.
И запусти снова.
Я отключил все посторонние плагины, кроме фантома запустил прогу.
Все норм, появилось главное окно программы.
Перезапустил Ctrl+F2 и запустил снова.
После этого моя программа обнаруживает отладчик.
Мистика какая-то?

я тебе всё объяснил, твоя программа и без плага обнаруживает ольгу, чё не понятно то?
почему мистика? это, отладочные привелегии последний раз повторяю, это не баг 0 это фича
отладчиков

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
новая версия готова
С опцией
[+]- custom handler exceptions
лучше стало???
//без этой опции некоторые сабжи под Олькой хрен запустишь, но с ней.... хрена лысого, путём и тормознёшься...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Обновил так сказать шапку ).
добавил следующие штуки:
WindowsTitle & ClassName (+ CPUTitle & CPUClassName)
ChangeINIFileName (где меняется имя ini файла)

Hellspawn
патч, который привёл арчи тоже мой просто другая версия.
с багом, бери последнии файлы от фемиды. [/i]
Он просто код привел, вот я его и указал.
>>бери последнии файлы от фемиды.
где говоришь брать? )

Эта фича которую привёл GodFather палит отладчик однако, я малость с антиотладкой не в теме ), фикс есть у кого?

| Сообщение посчитали полезным:

Bronco пишет:
С опцией
[+]- custom handler exceptions
лучше стало???

что конкретно? то, что мемори бряки слетают?

4t пишет:
Эта фича которую привёл GodFather палит отладчик однако, я малость с антиотладкой не в теме ), фикс есть у кого?

отключить дебаг привелегии, я же сказал, или перехватит NtOpenProcess

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Дык.. если с фантиком 1.20, то никаких бряков кроме "железа", или Олька в штопоре.
//хорошо что остался ф.1.10

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Дык.. если с фантиком 1.20, то никаких бряков кроме "железа", или Олька в штопоре.
//хорошо что остался ф.1.10

пока ничё не получается.

нашёл у себя в архивчеге:

Entry Point Alert:
0045DB45 EB 3F JMP SHORT PhantOm.0045DB86

C1069 (4c2269) - thread
b2763 (4b3963) - CPU
b2786 (4b3986) - module
a98ee (4aa2ee) - fpu
b6018 (4b7218) - class main

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Про 2-ю ольку (2.0d). Есть пару замечаний, мож их кто выскажет автору. Дабы в будущем меньше патчить пришлось .
1.)Выбор шрифтов столь же велик, как и в первой. Почему бы не сделать нормально, как у всех программ.
2.)decode as structure..., сами структуры разумнее вынести в отдельный файл, чтоб пользователь мог добавлять новые сам, автор всеравно все не учтёт, да и незачем.
3.)Goto Expression... , всетаки удобней было бы сделать как в плагине ollyadvanced, в одном окне RVA, VA, Offset.

| Сообщение посчитали полезным:

А что вы скажете про этот антидебаг?


de62_31.03.2008_CRACKLAB.rU.tgz - v.exe

| Сообщение посчитали полезным: