собственно сабж, в принпице спрятать ольгу не сложно, все методы известны...
Перечислять всю антиотладку в говнопроте нет смыла...
но вот скачал прогу FastSatfinder на ней один из последних EXECryptor
(скорее всего в защите выставлены не все галки) но есть новый трюк с "Invalid Handle"

теперь ближе к делу, под олькой эта прога падаед, никак не могу заставить
её работать. Под моим Easy Debugger всё ок) достаточно было сделать

case DE.Exception.ExceptionRecord.ExceptionCode of
EXCEPTION_INVALID_HANDLE : ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE);
EXCEPTION_BREAKPOINT : Form1.ExceptionBreakpoint(DE);
EXCEPTION_SINGLE_STEP : Form1.ExceptionSingleStep(DE);
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
end;

и всё как надо, я не могу понять почему, что-то олли не так обрабатывает...
просьба скачать прогу и попробовать запустить под любой сборкой олли (Snadow,OllIce и т.д.)!
поиграть плагинами, и если запуститься то отписаться какая сборка, плаги, ось
это очень важно...

тут прога:
2.28 mb
http://download-zone.org/10484 http://download-zone.org/10484

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

трюк с invalid handle старый, но решения нет

| Сообщение посчитали полезным:

Av0id, Hellspawn
обычная олька, пропатченная antidetectolly_v2.2.4, с phant0m & ollyadvanced 1.25b17 с включенными только fixbugs %s%s и "Ignore and skip C0000008h (Inv Handle)" запускает fastsatfinder

-----
SaNX

| Сообщение посчитали полезным:

вас из дас phant0m? и откуда взялась 17 бета ollyadvanced? может выложишь на рапиду?

| Сообщение посчитали полезным:

Av0id
вот ollyadvanced. phant0m не могу дать, т.к. Hellspawn не разрешал.

6c40_08.01.2007_CRACKLAB.rU.tgz - Olly Advanced v1.25.rar

-----
SaNX

| Сообщение посчитали полезным:

Толи меня глючит то ли это далеко не бета17. Парен ты чегото попутал.

| Сообщение посчитали полезным:

Cigan
а ну да, это Master Edition. Просто я в чэйнджлоге увидел, что фикс для invalid handle появился в 17 бетке.

С экзетулза:

Beta 17:
- Added option for C0000008h Exception Handling
- Added option for Termination-ignore of already terminated targets

-----
SaNX

| Сообщение посчитали полезным:

бла, я 1.25 перепутал с 1.26, которая сейчас beta 12

| Сообщение посчитали полезным:

SaNX странно, ща буду смотреть.... может в винде дело у мну 2000
свой плаг я выложу позже, когда релиз версия будет

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Простите за оффтоп
Что Олька не умерла? Тоесть автор, стал новые версии клепать?

-----
Researcher

| Сообщение посчитали полезным:

Плагин ? Что за плагин? (я про Ollyadvanced)

-----
Researcher

| Сообщение посчитали полезным:

Могу предложить для скрытия Ольки фичу от Seek'n'Destroy.

615d_08.01.2007_CRACKLAB.rU.tgz - snd-invisibleollydbgandknownpluginsv1.0.universalpatch.zip

| Сообщение посчитали полезным:

хочу поделиться своей радостью
(всего 1 плаг для скрытия) только это ещё не победа, прога стартует пару минут под олькой
на моём P III 866 и сыплет исключениями... Но прогресс уже налицо! пошёл я спать...



з.ы. олька "странно" обрабатывает "C000001E" + "C0000004" + "C0000008" ыыы)
пришлось патчить её бедную...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Проверь свой плаг на этой программе... От небезызвестных ARTeam

0579_09.01.2007_CRACKLAB.rU.tgz - poc.rar

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

хех прикольно, похоу это только для ринг 3
у кого сайс стоит? потрассируйте плз этот детект, мне надо знать,
как он должен выполняться

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Все описания здесь:

cab1_09.01.2007_CRACKLAB.rU.tgz - ANTI_RING3.rar

| Сообщение посчитали полезным:

А я что-то никак не пройду Detect clock manipulation

| Сообщение посчитали полезным:

Кто-нить может выложить OllyAdvanced а то зарегаться у китайчегов не могу

| Сообщение посчитали полезным:

если версию 1.26 бета 12 то вот

200f_09.01.2007_CRACKLAB.rU.tgz - advancedolly126b12.dll

| Сообщение посчитали полезным:

Этот детект делает 2 исключения на первое Olly реагирует правильно и продолжает с флагом DBG_EXCEPTION_NOT_HANDLED, потом вызывается CloseHandle и происходит 2ое исключение, Olly реагирует на него также - тут то она и палится,( "in normal condition CloseHandle will never raise EXCEPTION_INVALID_HANDLE, never!!!")
если её заставить отреагировать на второе исключение так ->DBG_CONTINUE то всё будет круто.

| Сообщение посчитали полезным:

ну читать мы умеем. лучше идею подай. как вариант смотреть eip исключения. и если там реально call CloseHandle(или где именно происходит исключение), то слать DBG_CONTINUE... Правда ещё как там написано некоторые вещи вызывают тоже самое (int 2e и т.д.). Так что мозги будет чем занять при написании. Кто решится - сообщите. У мну времени мало, так бы поисследовал багу

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

не, в ольке из плага обрабатывать исключения, это изврат)))) достало уже...
в миниотладчике я сделал так

EXCEPTION_INVALID_HANDLE :
begin
If DWORD(DE.Exception.ExceptionRecord.ExceptionAddress) = $77F91C3C then
ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE)
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
end;

и все тесты идут лесом... 77F91C3 почти в конце ntdll.KiRaiseUserExceptionDispatcher
возврат из CALL ntdll.RtlRaiseException

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Лучше по моему так :

EXCEPTION_INVALID_HANDLE :
begin
If DWORD(DE.Exception.ExceptionRecord.ExceptionAddress) = 0 then
ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED)
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE);
end;

При NtRaiseException ExceptionAddress будет = 0 а при исключении из CloseHandle будет <> 0 =)
и никаких хардкорных адресов.

| Сообщение посчитали полезным:

хех, при таком способе тест из xADT 1.2 говорит позитив) что не есть гууд...

мля объясните один момент... вот лог из олли:

adr = 007a9ea1
code= 80000004
--------------
adr = 77f91bbc // от куда это исключение?
code= 80000004
--------------
adr = 007af930
code =80000003
--------------
adr = 77f91bbc // и вот это
code= 80000004
--------------
adr = 007a8ed6
code= 80000004

его то ольки и не обрабатывает иногда...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Всё вылечил я Olly.
Тут выкладывали 2 тестера, после патча моя Olly их проходит на ура.
Кому интересно вот патч :

0043966A JMP 004AF684 //после 004AF20A (WaitForDebugEvent)


004AF684 PUSH 004D5714 //затертая команда
004AF689 CMP [DWORD 4D5720], C0000008 //invalid handle
004AF693 JNZ 004AF6A8
004AF695 CMP [DWORD 4D572C], 0 //адрес исключения
004AF69C JE 004AF6A8
004AF69E MOV [DWORD 4D5714], 0 //DBG_CONTINUE
004AF6A8 CMP [DWORD 4D5720], 0 //invalid handle
004AF6AF JNZ 004AF6C4
004AF6B1 CMP [DWORD 4D572C], 0 //адрес исключения
004AF6B8 JNZ 004AF6C4
004AF6BA MOV [DWORD 4D5720], C0000008 //подмена исключения
004AF6C4 JMP 0043966F //возврат назад

| Сообщение посчитали полезным:

Вообще говоря, данный метод работает не только против Ольки, но и против любых отладчиков. Для наиболее удобного обхода проще написать драйвер, который хучит закрытие хэндла и проверяет, передан ли валидный хэндл. Если да, то закрывает, если нет-то ничего не делает.

| Сообщение посчитали полезным:

WarrioR проверь на xADT 1.2
хех, а как проверить хендл на валидность?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Archer пишет:
который хучит закрытие хэндла и проверяет, передан ли валидный хэндл.
не закрытие..к несуществующему хендлу можно обратится по разному - все ранво будет исключение
Hellspawn пишет:
хех, а как проверить хендл на валидность?
аст тему на васме поднимал.. или у аста спроси.. или я ща поищу топ =)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Hellspawn пишет:
хех, а как проверить хендл на валидность?

Попробовать продублировать его(DuplicateHandle)?

Что-то вроде:
if !DuplicateHandle(...,handle,...)
CloseHandle(handle);
/* Handle is valid */
else
/* Handle is invalid */

| Сообщение посчитали полезным:

Hellspawn пишет:
WarrioR проверь на xADT 1.2

Все тесты проходит, но если запустить этот тестер через меню Open with OllyDbg то 1 тест не проходит.

Test: ZwQueryInformationProcess()
Message from test function: Nothing
Result: Debugger detected

| Сообщение посчитали полезным: