собственно сабж, в принпице спрятать ольгу не сложно, все методы известны...
Перечислять всю антиотладку в говнопроте нет смыла...
но вот скачал прогу FastSatfinder на ней один из последних EXECryptor
(скорее всего в защите выставлены не все галки) но есть новый трюк с "Invalid Handle"

теперь ближе к делу, под олькой эта прога падаед, никак не могу заставить
её работать. Под моим Easy Debugger всё ок) достаточно было сделать

case DE.Exception.ExceptionRecord.ExceptionCode of
EXCEPTION_INVALID_HANDLE : ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE);
EXCEPTION_BREAKPOINT : Form1.ExceptionBreakpoint(DE);
EXCEPTION_SINGLE_STEP : Form1.ExceptionSingleStep(DE);
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
end;

и всё как надо, я не могу понять почему, что-то олли не так обрабатывает...
просьба скачать прогу и попробовать запустить под любой сборкой олли (Snadow,OllIce и т.д.)!
поиграть плагинами, и если запуститься то отписаться какая сборка, плаги, ось
это очень важно...

тут прога:
2.28 mb
http://download-zone.org/10484 http://download-zone.org/10484

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Gambit пишет:
Меня побьют за такой вопрос ( ), но почему у меня в ольке не принимаются команды:

cmp dword ptr[4D5720]

| Сообщение посчитали полезным:

Gambit пишет:
Меня побьют за такой вопрос ( ), но почему у меня в ольке не принимаются команды:

004AF689 CMP [DWORD 4D5720], C0000008 //invalid handle

004AF6BA MOV [DWORD 4D5720], C0000008 //подмена исключения

Нужно так:

004AF689 CMP DWORD [4D5720],0C0000008
004AF6BA MOV DWORD [4D5720],0C0000008

| Сообщение посчитали полезным:

NIKOLA!
Спсиб, большое! Работает

ЗЫ: и WarrioR'у спасибо естессно (за патч)

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

2Hellspawn
>лечиться или перехватом OpenProcess или снятием дебаг привелегий)

Почему? Именно OpenProcess?

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
Почему? Именно OpenProcess?

потому что гладиолусы!
фтыйкай!

hччp://www.piotrbania.com/all/articles/antid.txt

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Пытаюсь запустить одну прогу с Экзекриптором под Olly.
Экзекриптор явно не старый. (хотя peid определяет как 2.2.4)
Если запуcтить Olly и запустить прогу не в Olly- все нормально. Прога запускается.
Если запустить Olly. Выставить в ней игног всех исключений с Range=0..FFFFFFFF и "System Breakpoint"
Открыть в ней прогу. Убить бряк, поставленный олей на EP и нажать Shift+F9 (при этом ни одного бряка не установлено), то возникает сообщение Debugger detected и прога закрывается вместе с Olly.
Что сделано с Olly:
применен AntiDetectOlly 2.2.4
используется Hide Debugger v1.2.4
используется Phantom Plugin 0.53 со всеми галками, кроме fakeWindows version
используется OllyAdvanced Plugin (пробовался с установками про который писали на 1 странице этой ветки)
пробовал HideTools (делал Hide для csrss и для Olly)
пробовал патч от WarrioR
Все это не помогает.
Подскажите, что еще можно попробовать
Операционка: XP без сервиспаков
Что еще замечено: прога прибивает DBGview

| Сообщение посчитали полезным:

Может помочь тебе OllyDbg Execryptor edition и скрипт Bypass AntiDBG OEP...Часто выручает. Попробуй. Экзекриптор эдишин ты легко найдёшь, а скрипт на всякий случай сюда приаттачу.

7721_11.02.2007_CRACKLAB.rU.tgz - Bypass AntiDBG OEP.txt

| Сообщение посчитали полезным:

AlexVel
Одного Phant0m Plugin, насколько я знаю, поставив все галки (кроме версии винды), достаточно, чтоб обойти Экзекриптор. А вот на OllyAdvanced налегать не стоит, он перенаправляет некоторые функции, а это палит какой-то прот (вроде, как раз Экзекриптор). Ну и проверь, чтоб не было никаких бряков (ни HW, ни программных, включая бряк на EP). А вообще скоро будет новая версия Phant0m с модным rdtsc.

| Сообщение посчитали полезным:

AlexVel выложи прогу... я догадываюсь в чём проблема

AlexVel пишет:
прога прибивает DBGview

да и не только это))) ещё много чего...

Mifodix пишет:
OllyDbg Execryptor edition

да что вы все к этой версии привязались? в ней нету ничего особенного...

Archer пишет:
новая версия Phant0m с модным rdtsc.

и не только

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
и не только
Ну заинтриговали ! Ждем!

| Сообщение посчитали полезным:

OllyDbg Execryptor edition - не помог. Все то же. Debugger Detected
На OllyAdvanced не налегал. Пробовал и с ним и без него.
>Одного Phant0m Plugin, насколько я знаю, поставив все галки (кроме версии винды), достаточно, чтоб обойти Экзекриптор.
Похоже что все-таки не достаточно.
>Ну и проверь, чтоб не было никаких бряков (ни HW, ни программных, включая бряк на EP)
ТОчно никаких бряков нет. Бряк на EP собственноручно убиваю
Попробую собрать миним. комплектик для запуска проги.
Предположительно мега 4 в архиве выйдет.
Импорт скриптом от PE_Kill-а нормально восстанавливается.
Прога на Delphi 2006 - вызов GetModuleHandleA в первом калле - определен.
Начало спертых байт до первого калла тоже восстановил, но вот дальше...
Смотрел тутор по happyharvester2u - так в моей проге по другому.
Когда ставлю бряк (memory access) на секцию CODE, то всплываю не на начале нормальной функции,
а на jmp который прыгает в одну из секций криптора, в которой, как я понял, содержатся несколько фунок проги в обфусканом состоянии.

| Сообщение посчитали полезным:

"экстрасенсы в отпуске (c)"

прогу суда, возможно новый криптор...

з.ы. линк - dl1.rapidshare.ru/172136/79230/GR.RAR

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

У меня нормально запускается, olly shadow и 4 плагина phantom, command line, odbgscript, bookmarks

| Сообщение посчитали полезным:

Переложите куда-нибудь пожалуйста, у меня чё-то не качается с dl1.rapidshare.ru/172136/79230/GR.RAR

| Сообщение посчитали полезным:

AlexVel пишет:
OllyDbg Execryptor edition Это та же оля после старого патча - AntiDetectOlly 2.2.4 Как известно
он и его стал палить .И был сделан патч AntiDetectOlly 2.2.4 + плюс который это дело фиксил.
Но в инструменты он не попал видимо по неизвестным причинам.

| Сообщение посчитали полезным:

AlexVel пишет:
OllyDbg Execryptor edition Это та же оля после старого патча - AntiDetectOlly 2.2.4 Как известно
он и его стал палить .И был сделан патч AntiDetectOlly 2.2.4 + плюс который это дело фиксил.
Но в инструменты он не попал видимо по неизвестным причинам.

| Сообщение посчитали полезным:

AlexVel пишет:
Когда ставлю бряк (memory access) на секцию CODE, то всплываю не на начале нормальной функции,
а на jmp который прыгает в одну из секций криптора, в которой, как я понял, содержатся несколько фунок проги в обфусканом состоянии.
Ты скорее всего ставишь бряк до инициализации дельфи и попадешь в криптор где как правило пара тройка проверок !
Или пытаешься восстановит не дельфийный стаб я а что то другое?

| Сообщение посчитали полезным:

Mifodix

slil.ru/23911373

| Сообщение посчитали полезным:

cadet пишет:
lly shadow и 4 плагина phantom

т.е. плаг норм отрабатывает? мне можно не капать прожку?
тогда займусь новой версией...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Работает железно.

| Сообщение посчитали полезным:

Hellspawn
сильно не расслабляйся
MIDItoMP3 палит палит чистую ольку с фантомом и закрывает ;) OllyDbg Execryptor отлаживает !
Киптор навешан также как в Uninstall Tool ;)

| Сообщение посчитали полезным:

pavka пишет:
MIDItoMP3 палит палит чистую ольку с фантомом и закрывает ;)

класс окна и т.д. надо полюбому патченную сборку юзать...
в принципе можно поиск похучить, но имхо это лишнее

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Не клас окна не причем я у убирал а и т.д лениво было рыть дальше проще было другую ольку запустить

| Сообщение посчитали полезным:

попробовал ollyshadow только с одним плагом phantom 0.53
попробовал обычную olly обработанную AntiDetectOlly_v2.2.4 только с одним плагом phantom 0.53
Никаких бряков не устанавливал. Бряк на EP снимал
Везде результат одинаков - появляется окно:
---------------------------
Ошибка
---------------------------
Debugger detected [215926505-]
---------------------------
ОК
---------------------------

| Сообщение посчитали полезным:

cadet пишет:
Работает железно.
Не воркает у меня. Прога терминатица

| Сообщение посчитали полезным:

AlexVel
Mifodix

Я запускаю прожку шифт+ф9, а так незнаю вроде все так, что и сказать незнаю

| Сообщение посчитали полезным:

cadet пишет:
Я запускаю прожку шифт+ф9
И что у тебя появляется? Сообщение о том, что ключ не найден или что ?

PS:Есть еще подозрение, что там есть что-то вроде порога rdtsc
У меня слабенький Duron900 и под отладчиком соответственно время выполнения некоторого участка
кода может быть больше порога, тогда как у тебя (возможно) на более шустром компе до этого порога не доходит. Все вышесказанное просто предположение.

| Сообщение посчитали полезным:

Да. Попробуй поставить access бряк на 407514, делай шифт+ф9 до команды lods и еще раз нажми, когда остановишься убери лишние потоки. Может пройдет. Иногда помогает такой фокус, открываешь олю открываешь плагин фонтом делаешь save, перезапускаешь олю. А у меня слету проходит и незнаю как помочь. Если проц влияет то у меня CORE DUO E6600

Сейчас попробовал на лоптопе интел 1600, все окей.

| Сообщение посчитали полезным:

cadet пишет:
Попробуй поставить access бряк на 407514, делай шифт+ф9 до команды lods и еще раз нажми, когда остановишься убери лишние потоки. Может пройдет. Иногда помогает такой фокус, открываешь олю открываешь плагин фонтом делаешь save, перезапускаешь олю.
Поставил access бряк на 407514. шифт+ф9 (4 раза). Дошел до 407514. Стоя прямо на нем открываю окно тридов. Там 2 трида. Удаляю тот, который не основной. Удаляю бряк на 407514.Нажимаю шифт+ф9
довольно большая пауза (секунд 8) - при этом в статусной строке мелькают эксепшены и INT 3
Потом возникает модальное окно с ошибкой: Debugger detected.
Фокус с фантомом тоже пробовал - не помогает.

Если есть возможность, то запакуй свою сборку Olly и выложи на какой-нибудь обменник (кроме slil.ru)
(ссылку можно в личку) Я утяну и проверю.

| Сообщение посчитали полезным:

AlexVel

Мыслей пока нет, единственное выкладываю свою олю с udd. Попробуй у меня на двух компах идет.

http://slil.ru/23912686 http://slil.ru/23912686

блин на на какой?

| Сообщение посчитали полезным: