собственно сабж, в принпице спрятать ольгу не сложно, все методы известны...
Перечислять всю антиотладку в говнопроте нет смыла...
но вот скачал прогу FastSatfinder на ней один из последних EXECryptor
(скорее всего в защите выставлены не все галки) но есть новый трюк с "Invalid Handle"

теперь ближе к делу, под олькой эта прога падаед, никак не могу заставить
её работать. Под моим Easy Debugger всё ок) достаточно было сделать

case DE.Exception.ExceptionRecord.ExceptionCode of
EXCEPTION_INVALID_HANDLE : ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE);
EXCEPTION_BREAKPOINT : Form1.ExceptionBreakpoint(DE);
EXCEPTION_SINGLE_STEP : Form1.ExceptionSingleStep(DE);
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
end;

и всё как надо, я не могу понять почему, что-то олли не так обрабатывает...
просьба скачать прогу и попробовать запустить под любой сборкой олли (Snadow,OllIce и т.д.)!
поиграть плагинами, и если запуститься то отписаться какая сборка, плаги, ось
это очень важно...

тут прога:
2.28 mb
http://download-zone.org/10484 http://download-zone.org/10484

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

/*401021*/ mov dword ptr ds:[4020B8],poc.004010C3
Вообщем если на адресс 4020B8 поставить меморе брекпоинт то после того как нажать F9 она остановиться на строчке которую я привел и если нажать еще раз F9 то появиться что все гуд.
Как же сделать чтобы все было коректно при трасировки пока не решил.

| Сообщение посчитали полезным:

хех, пропатчил твоим способом ольку, ничё хорошего терь возникает
event 00000000 и тест не проходит...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Cigan пишет:
Как же сделать чтобы все было коректно при трасировки пока не решил.

Мой патч пробовал?

| Сообщение посчитали полезным:

Hellspawn пишет:
хех, пропатчил твоим способом ольку, ничё хорошего терь возникает
event 00000000 и тест не проходит...

event 00000000 у меня тоже возникает, просто нажимаю F9 и тест проходит
если работает advancedolly то нужно отключить опцию invalid handle

| Сообщение посчитали полезным:

WarrioR пишет:
Мой патч пробовал?
Ага пробовал три BSOD и с меня хватило.

| Сообщение посчитали полезным:

может все-тки нада перечислить анти дебаг последней версии этого криптора...
у меня тож троублз с ним программа правда старенькая но как только запускаю Олю
она нахрен закрывается..
а если сначала Ольгу Дебаговну, а потом в нее прогу загружаю то Оля матерится.. и пишет try to change EIP вотс..

-----
Researcher

| Сообщение посчитали полезным:

[url=http://www.wasm.ru/forum/viewtopic.php?pid=136879
]http://www.wasm.ru/forum/viewtopic.php?pid=136879
[/url]
Asterix пишет:
мне кажется все гораздо проще, ставим в игнор исключение 0xC0000008 средствами Olly
чтоб защититься от явных RaiseException
+ обрабатываем вызовы CloseHandle с несуществующим хэндлом,
мне кажется метод рабочий

тоесть инвалид_хендл в игнор..(лучше хукаем raiseexception).. + хукаем closehandle(вписываем свою проверку хендла).. от ехекриптора спасет точно

UPD: читаем в топе на васме предпоследний пост

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Cigan пишет:
Ага пробовал три BSOD и с меня хватило.

С трудом верится, так как Olly работает с этими переменными точно также только из других мест.

| Сообщение посчитали полезным:

overwriter пишет:
может все-тки нада перечислить анти дебаг последней версии этого криптора...

не видел пока посл. версию со всеми опциями... на проге которую я приводил в начале не все
опции! А вообще всё стандартно...

могу перечислить антиотладку в 2.2.6 т.к. она регенная)

з.ы. у кого нить мыло маркуса есть? надо перетереть пару вещей, а я никак не найду...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Перечисляй..! а то у меня редкий случай ламоразмотической ленности..
а лучше статью написать.. а-ля экзекриптыр версус олля дебаговна
и табличку там в ней:
Анти дебаг метод / Анти анти дебаг метод..
мне будет очень приятно

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
Перечисляй..! а то у меня редкий случай ламоразмотической ленности..
а лучше статью написать.. а-ля экзекриптыр версус олля дебаговна
и табличку там в ней:
Анти дебаг метод / Анти анти дебаг метод..
мне будет очень приятно
китайцы писали нечто подобное.. самые крутые методы детекта - инвалид_хендл и открытие csrss.exe

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
открытие csrss.exe

лечиться или перехватом OpenProcess или снятием дебаг привелегий)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
угу, но перехватом лучше =)
пс.зайди в аську

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

я китайский изучать начал.. но до чтения статей.. пока меня не хватает.. или она на английском.. ?
тада дайте ссылочку плз..

-----
Researcher

| Сообщение посчитали полезным:

overwriter
на китайском

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

лечиться или перехватом OpenProcess или снятием дебаг привелегий)
а почему именно OpenProcess?
про снятие привелегий можно подробнее..
ногами не пинать! иду читать про сплайсинг

-----
Researcher

| Сообщение посчитали полезным:

Кто-нибудь Anti 0lly Tester 1.0 http://arteam.accessroot.com/releases/file_info/download1.php?file=Anti0lly_Tester_10_by_Shub-Nigurrath.rar проходил? У меня валится:

Тогда как xADT_1.2 прохожу спокойно.

| Сообщение посчитали полезным:

всё, с инвалид хендл разобрались вмесле с Арчером, драйвер решаед

Gideon Vi пишет:
Gideon Vi

HideToolz используй... или пропатч экспорт...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Gideon Vi пишет:
Кто-нибудь Anti 0lly Tester 1.0 проходил? У меня валится:
запатчи экспорты ольки и _все_ плуги котоыре юзаешь.. это самый тупой метод =)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Тьфу, я тестовую ольгу гонял =) Всем спасибо, на основной экспорт давно забит.

Hellspawn пишет:
HideToolz используй...

Что характерно - не спас

| Сообщение посчитали полезным:

Hellspawn пишет:
всё, с инвалид хендл разобрались вмесле с Арчером, драйвер решаед

Там драйвер, тут драйвер. Скоро придётся в туалет через нулевое кольцо ходить

| Сообщение посчитали полезным:

Gideon Vi пишет:
Что характерно - не спас
Скрой csrss.exe, должно помочь.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Скрой csrss.exe, должно помочь.

Странно, но не помогло. Попробуй сам на чистой ольге - файл 9 кб весит.

| Сообщение посчитали полезным:

EXECryptor 2.2.6 Registered
со всеми опциями...

1) палит бряк на EP (int 3)
2) юзает TLS
3) палит железные бряки
4) открывает (OpenProcess) все процессы и читает (ReadProcessMemory) их, ищед ольку по сигне)
5) пытается открыть csrss.exe (если удалось, нас попалили)
6) хуева туча потоков
7) FindWindowA (ищем окно олли)
8) EnumWindows
9) ну и куча исключений конечно...
10) палит обычные бряки
11) палит перехваты АПИ
12) палит бряки на АПИ

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Gideon Vi пишет:
Странно, но не помогло. Попробуй сам на чистой ольге - файл 9 кб весит
Запускаю скрытую олю, запускаю ExeCryptor последней версии с офф. сайта. Все работает, ничего не палит. Ну а если отлаживать ексекриптор олей, то он еще саму отладку палит, тут должны плуги помочь.

Или у тебя криптор палит просто запущеную под HideTools олю, даже когда его не отлаживают?

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem, с криптором проблем нет. Я говорю про ту маленькую утилитку-тест, что выложил чить выше.

| Сообщение посчитали полезным:

Hellspawn пишет:
1) палит бряк на EP (int 3)
2) юзает TLS
3) палит железные бряки
4) открывает (OpenProcess) все процессы и читает (ReadProcessMemory) их, ищед ольку по сигне)
5) пытается открыть csrss.exe (если удалось, нас попалили)
6) хуева туча потоков
7) FindWindowA (ищем окно олли)
8) EnumWindows
9) ну и куча исключений конечно...
10) палит обычные бряки
11) палит перехваты АПИ
12) палит бряки на АПИ
13) гавнобаги олкьи с:
o lock int3
o lock int1
o ds:int3
14) rdtsc

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Gideon Vi пишет:
Кто-нибудь Anti 0lly Tester 1.0 проходил? У меня валится:

Тогда как xADT_1.2 прохожу спокойно

этот Anti 0lly Tester открывает процесс проводника, если ему помешать он говорит что ничо не нашел.

| Сообщение посчитали полезным:

В следующей версии HideTools доступ родительского процесса к дочернему будет выключаться по старту его первого потока.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

WarrioR пишет:
Всё вылечил я Olly.
Тут выкладывали 2 тестера, после патча моя Olly их проходит на ура.
Кому интересно вот патч
Меня побьют за такой вопрос ( ), но почему у меня в ольке не принимаются команды:

004AF689 CMP [DWORD 4D5720], C0000008 //invalid handle

004AF6BA MOV [DWORD 4D5720], C0000008 //подмена исключения

Unknown identifier пишет

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным: