Доброй ночи.

Исследовал программу накрытую ASPack'ом, дошел до OEP, попробовал сдампить с помощью плагина
OllyDump, после попытки дампа появилась ошибка



Процесс OllyDbg.exe пропал из списка task-manager и просканив ntoskrnl.exe на наличие hook'ов
с помощью rku, обнаружил 6 перехватов системных сервисов:



Сервисы:
NtClose
NtOpenProcess
NtQueryInformationProcess
NtQuerySystemInformation
NtSetInformationThread
NtYieldExecution

Перехватывает странный драйвер extremehide.sys


Хуки снимаются отлично с помощью rku v3.8 LE edition, вот такой защитный финт!

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Извини, а линк не кинешь на прогу эту? посмотреть интересно!

| Сообщение посчитали полезным:

FairStars Audio Converter Pro
f1cd.ru/soft/base/fairstars_audio_converter_pro/

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

extremehide.sys вообще это драйвер фантика

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Круто, как получается что процесс скрывается и почему такие глюки?


Странно конечно, но после удаление плагина (Phantom) процесс перестал пропадать из
task-manager'а, но вот ошибка о RTL, так и осталась, но это относится к OllyDump,
с помощью PE-Tools нормально сдампил

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Coderess пишет:
после попытки дампа появилась ошибка
юзал плагин PeDumper 3.03 - всё ок.

А почему вот у тебя процесс скрывается? У меня всё норм, хотя ведь фантомку тоже юзаю.

| Сообщение посчитали полезным:

так он и скрывает ольгу от всякой гадости. убери галки в настройках.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Посмотри что стоит , скрытие олика , так и должно скрывать из списка , у меня тож постоянно скрывает... дампи чемнибудь другим , наверно хидер потерт ... А глюки от скрытия у меня тож есть , иногда даже бсоды бывают )

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
дампи чемнибудь другим
Ну я же говорю: юзай плаг PeDumper.

Кстати для неё ключеген есть от tPORT.
Вот: slil.ru/27508532 69.02KB

| Сообщение посчитали полезным:

MasterSoft Мне ключ не нужен, PE-Tools нормально справляется с дампом - это и было понятно,
но все оказалось мягко говоря, немного по другому...

Зато теперь будем знать для чего флажок Load driver

Всем спасибо за участие!

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Coderess пишет:
Зато теперь будем знать для чего флажок Load driver

ппц

| Сообщение посчитали полезным:

Coderess пишет:
Зато теперь будем знать для чего флажок Load driver
Мдяяя. Ну и ветераны нынче пошли...

| Сообщение посчитали полезным:

Ну теперь будем придираться к каждому написанному слову, цитировать его и зарабатывать себе по пункту рейтинга гыгыгы

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Coderess пишет:
Ну теперь будем придираться к каждому написанному слову
Да было достаточно прочитать самый первый пост чтобы понять что "ветеран" просто некопенгаген ни в плане классической распаковки аспака ни в плане знаний об инстурментах которыми сам же и пользуется. Ну а последний перл просто убил )

| Сообщение посчитали полезным:

Но во первых - оправдываться, я здесь не перед кем не буду, на ваши посты я клал и
во вторых - у вас какой-то не здоровый интерес ко мне, а у меня есть девушка

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

постебали для профилактики и хватит))

-----
[nice coder and reverser]

| Сообщение посчитали полезным: