Добавлена команда Detach, юзать - с умом, процесс должен быть отпущен,
зациклен(jmp $) или заSUSPEND'ен тогда можно Detach'иться.

В следующей версии прикручу защиту от Obsidium'а 1.2.

| Сообщение посчитали полезным:

.

_1144129978__HideDebugger1.2.1.rar

| Сообщение посчитали полезным:

ы, а я когда название топика прочитал было подумал, что ты прикрутил наконец-то защиту от проверки через ZwQueryInformationProcess...
Кста вот интересно, почитал я про эту Eprocess... если драйвер написать (или заюзать например от R0cmd, он же в любой место запись разрешает) который будет патчить эту Eprocess данного процесса (ведь есть же драйверы с исходниками, которые скрывают процесс под NT, они явно с Eprocess как-то работают, может их немного подправить =) ). Тогда наверно и в PEB тоже нужный байт пойдёт. Только вот вопрос в какой момент олли передаёт управление плагину...

| Сообщение посчитали полезным:

> ы, а я когда название топика прочитал было подумал, что ты прикрутил наконец-то защиту от проверки через ZwQueryInformationProcess...

Ну пока обдумываю как покороче и поуниверсальнее реализовать, ведь тогда можно будет использовать функцию в дальнейшем, чтоб обламывать какие-нибудь другие проверки..

С драйвером связываться не хочу, опыта нет, да и нет пока особой необходимости в нём, разве что класс окна в рантайме патчить, но проще пропатчить сам Olly, кстати, если б Olly правильно плагины грузил, до показа своего главного окна, то, опять же, класс окна можно было бы патчить в рантайме.

| Сообщение посчитали полезным:

> Только вот вопрос в какой момент олли передаёт управление плагину...

Я в плагине не жду когда Olly передаст управление, всё что нужно хватаю сам, в нужный мне момент ;)

| Сообщение посчитали полезным:

Маленькая бага закралась в релиз, Detach работает только если включена хотя бы одна из двух защит либо IsDebuggerPresent либо TerminateProcess.
В следующей версии поправлю ;)

| Сообщение посчитали полезным:

Your system not supports DebugActiveProcessStop function =(

| Сообщение посчитали полезным:

В 2k такой функции действительно нет ;)

| Сообщение посчитали полезным:

Обыдна =) А сэмулить её нельзя?

| Сообщение посчитали полезным:

> А сэмулить её нельзя?

%)

| Сообщение посчитали полезным:

Ну типа рипнуть код из kernel'a или где она там? =)))

| Сообщение посчитали полезным:

WELL
Круто будет, WELL kernel32.dll пропатчит
Проще помойму ХР поставить.

| Сообщение посчитали полезным:

| Сообщение посчитали полезным:

MC707 пишет:
Круто будет, WELL kernel32.dll пропатчит
не, тут kernel32.dll, не отделаешься ) ведь дело в функции ZwRemoveProcessDebug, а это уже совсем не kernel32.dll =)

| Сообщение посчитали полезным:

Mario555
> а я когда название топика прочитал было подумал, что ты прикрутил наконец-то защиту от проверки через ZwQueryInformationProcess...

Уже прикрутил, вот только никак не придумаю как ее обозвать в диалоге Options ;)

| Сообщение посчитали полезным:

Asterix пишет:
как ее обозвать в диалоге Options
ZwQueryInformationProcess - must die =)

| Сообщение посчитали полезным:

Гы, название придумал, так что скоро будет релиз ;)

| Сообщение посчитали полезным:

Новая версия лежит здесь.
www.wasm.ru/forum/files/_1964778182__HideDebugger122.rar

| Сообщение посчитали полезным:

Решил поднять тему =)

Дело в том, что если запускать ольку, а потом грузить в неё файл, то заголовки окна убираются.
А вот если сразу грузить файл из контекстного меню проводника, то заголовки не убираются.
Вот такой глюк/фича =)

| Сообщение посчитали полезным:

Вобще-то это была фича ;)
Ну ладно, в следующем релизе постараюсь поправить, только вот не знаю когда это будет %)

ЗЫ: я ни разу не грузил Olly из explorer'а =)

| Сообщение посчитали полезным:

Asterix пишет:
Вобще-то это была фича ;)
Ну я так сразу и подумал ;)

Asterix пишет:
я ни разу не грузил Olly из explorer'а =)
Я только так и гружу =) Мне так удобнее =)

| Сообщение посчитали полезным:

WELL пишет:
Я только так и гружу =) Мне так удобнее =)
Не один я видимо такую штуку юзаю Так сто процентов удобнее. Пункт "Дизасмить" у EXE файлов

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Дык не зря же есть стандартная опция Options -> Add to Explorer

| Сообщение посчитали полезным:

добавил код против OutputDebugString эксплоита, который
любят применять Армадилла и EXECryptor

www.wasm.ru/forum/files/_311506657__HideDebugger123.zip

| Сообщение посчитали полезным:

Asterix
Как раз к стати Спасибо!
Работает! XPsp2 Без проблем.

| Сообщение посчитали полезным:

Пофиксен один маленький баг

www.wasm.ru/forum/files/_1278267755__HideDebugger123f.zip

| Сообщение посчитали полезным:

cool
а как насчёт ?
WELL пишет:
Дело в том, что если запускать ольку, а потом грузить в неё файл, то заголовки окна убираются.
А вот если сразу грузить файл из контекстного меню проводника, то заголовки не убираются.

| Сообщение посчитали полезным:

WELL
я пока не придумал как это поизящнее сделать, сейчас оно сделано наиболее
правильным и безглючным способом, может позже верная мысль меня посетит ;)

| Сообщение посчитали полезным:

WELL
Решение проблемы с заголовком окна найдено,
как доберусь до дома будет новый релиз с фиксами багов и новыми фичами, но
это будет не ранее чем через 25 дней, т.к. сейчас под рукой только исходники от версии
1.2.2, на ней и экспериментирую =)

| Сообщение посчитали полезным:

Жду с нетерпением ;)
Спасибо, что не забыл

| Сообщение посчитали полезным: