собственно сабж, в принпице спрятать ольгу не сложно, все методы известны...
Перечислять всю антиотладку в говнопроте нет смыла...
но вот скачал прогу FastSatfinder на ней один из последних EXECryptor
(скорее всего в защите выставлены не все галки) но есть новый трюк с "Invalid Handle"

теперь ближе к делу, под олькой эта прога падаед, никак не могу заставить
её работать. Под моим Easy Debugger всё ок) достаточно было сделать

case DE.Exception.ExceptionRecord.ExceptionCode of
EXCEPTION_INVALID_HANDLE : ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE);
EXCEPTION_BREAKPOINT : Form1.ExceptionBreakpoint(DE);
EXCEPTION_SINGLE_STEP : Form1.ExceptionSingleStep(DE);
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
end;

и всё как надо, я не могу понять почему, что-то олли не так обрабатывает...
просьба скачать прогу и попробовать запустить под любой сборкой олли (Snadow,OllIce и т.д.)!
поиграть плагинами, и если запуститься то отписаться какая сборка, плаги, ось
это очень важно...

тут прога:
2.28 mb
http://download-zone.org/10484 http://download-zone.org/10484

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

cadet
Можешь выложить на другой обменник? (webfile.ru / rapidshare.ru/ com/ de)
У меня пров со slil.ru вообще не дружит

| Сообщение посчитали полезным:

AlexVel

Попробуй ссылку поправил webfile.ru/1313425

| Сообщение посчитали полезным:

Кому со slil.ru надо скачать, заходите сюда ifolder.ru/, регистрируетесь, жмёте - загрузить с удалённого сервера и ждёте, когда загрузится - вам на ящик письмо придёт.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

cadet
Спасибо.
Скачал твою cсборку Olly. Исправил пути в INI
Запустил Shadow. Открыл фантом. Снял и заново установил все галки. Нажал сейв. Закрыл Shadow.
Снова открыл shadow. Убедился что в настройках стоит Make first pause at: System Breakpoint
Открыл прогу. Убил в окне брекоинтов бряк на EP. Нажал Shift+F9
Секунд через 15 получил окно Debugger detected

| Сообщение посчитали полезным:

так поглядел я прожку, у меня запускается 50 на 50... сто пудов из за слабого компа, т.к.
криптор сыплет кучей исключений и ольга иногда не правильно их обрабатывает (о чём я говорил)

что заметил из нового..
пните меня если не так, криптов в цикле = 60h раз вызывает GetTickCount хз зачем ему это, может для удовлетворения? походу обнаружение идёт из за этого... надо поглядеть что он там хочет, но с его
жутким кодом это проблематично... У меня без ольки то прога секунд 15 запускается))))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Нет, от процессора это не зависит. Сегодня попробовал. Таже фигня началась 50/50 запускается. Что случилось? Незнаю.

| Сообщение посчитали полезным:

На рабочем компе Celeron 2000 прога также запускается 50/50
найти спертые байты после инициализации (вызова первого call-a с GetModuleHandleA) пока
не получается. Антиотладку заинлайнить тоже не получается

| Сообщение посчитали полезным:

Hellspawn погляди вот это про GetTickCount
может это поможетwww.wasm.ru/article.php?article=wayround <--

| Сообщение посчитали полезным:

да чуть не забыл как насчёт стар форса версии скажем 4.50
как его в олли запустить подскажите ламеру
там он просто нашпигован антиотладкой

| Сообщение посчитали полезным:

GodFather
Для старфорса надо переводить отладчик на другие прерывания, писали уже об этом. Пиши свой драйвер, переводи айс. На паблике готовых решений для этого я не видел.

| Сообщение посчитали полезным:

а почему тогда стар при загрузке в отладчик сам себя на свет божий вытаскивает в обход отладчика что он хучит даже когда его дрова не установлены?
можете объяснить чтоб я также как они со своими скажем прогами смог сделать чтоб не отлаживали
если есть матерьялы отошлите меня к ним; просто я всерьез заинтересовался этой защитой

| Сообщение посчитали полезным:

GodFather пишет:
даже когда его дрова не установлены?

ну, вообще-то он не запустится без установленных дров...

GodFather пишет:
можете объяснить чтоб я также как они со своими скажем прогами смог сделать чтоб не отлаживали

нет, не можем

GodFather пишет:
просто я всерьез заинтересовался этой защитой

купи её.

| Сообщение посчитали полезным:

ну, вообще-то он не запустится без установленных дров...
Gideon Vi При загрузке в дебаггер без установленных дров стар все равно не останавливается на
one-shot бряке, никогда ничего подобного нигде не видел
ВЫ ВООБЩЕ МОЖЕТЕ ОБЪЯСНИТЬ ПОЧЕМУ ТАК ПРОИСХОДИТ???
у кого мне еще спросить у разработчиков стара да?
так прям они мне и ответят

купи её.
я бедный студент делать мне больше нечего чем как стар покупать
вчера успешно образину с игрухи старфорса DVD версии 4.50 снял (другу спасибо дал)
до этого образ с третьим старом юзал
одно хорошо дисковод из привода вырубать не надо по сравнению с третьим старом
за что разработчикам стар форс
РЕСПЕКТ!

я просто прошу объяснения вот и всё

| Сообщение посчитали полезным:

GodFather пишет:
никогда ничего подобного нигде не видел

я тоже. какая игра, ставились ли обновления?

GodFather пишет:
я бедный студент делать мне больше нечего чем как стар покупать

ты хотя бы представляешь себе, сколько человеко-часов ушло у конторы, чтобы создать защиту такого уровня? как бедный студент водиночку собирается замутить такой прот и параллельно писать ещё какие-то утилиты, чтобы их накрывать? и зачем их защищать, если не продавать? А если продавать, то будут деньги и на старика. Логическая ловушка, да

| Сообщение посчитали полезным:

какой-то косяк в том что стар инициализирует как-то криво свой длл
вот например игруха THEIOFTHEDRAGON.EXE стар вроде 3й версии
00965000: 689CDC323A PUSH 3A32DC9C
00965005: FF2584519600 JMP [00965184] (прыжок на свой dll)
а вот игруха от 1С Blood Magic Smoke and Mirrors BloodMagic.exe версия стара 4.50
01E3D000: 6870A4A4AB PUSH ABA4A470
01E3D005: FF2518D2E301 JMP [01E3D218](опять же прыжок на свой dll)
кстати при загрузке protect.dll в stud_PE.exe происходит экзепшин
решил я взять асм (MASM) и в свою прогу вписать
PUSH 3A32DC9C
прога моя некудышная но сразу начались приколы при её загрузке в OLLY ,
я её грузил стандартно не через фишку :"Make first pause at: System breakpoint"
олли не останавливается на one-shot бряке и летит до подрыва на исключении
похоже мы слишком мало знаем о той оси которую юзаем
даю вам пример с сырцом чтоб может хоть кто-то разобрался что происходит




c4f6_23.07.2007_CRACKLAB.rU.tgz - отправить.zip

| Сообщение посчитали полезным:

у мну ничё не происходит) олька останавливается на ЕР

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn ep это у тебя так да
00401000 > 68 9CDC323A PUSH 3A32DC9C
00401005 90 NOP
00401006 90 NOP
00401007 90 NOP
00401008 66:50 PUSH AX
0040100A 66:5B POP BX
0040100C 66:51 PUSH CX
0040100E 66:5A POP DX
00401010 6A 00 PUSH 0
а у меня на этой хрени ни останавливается

| Сообщение посчитали полезным:

у меня останавливается здесь
0040109A 8D45 D0 LEA EAX,DWORD PTR SS:[EBP-30]



| Сообщение посчитали полезным:

проверьте может у кого также как и у меня?

| Сообщение посчитали полезным:

это снова я и для вас на этот раз приготовил штуку
грузите её (exe или dll) в олли не через Make first pause at: System breakpoint
и плагины к IsDebugPresent вырубите для пущего эффекта
также делает и стар форс когда грузится в олли
Гениально и просто
КАК ЭТО ОБОЙТИ???
(этот прикол)

e0e6_24.07.2007_CRACKLAB.rU.tgz - loaddll.rar

| Сообщение посчитали полезным:

Выложите кто-нить уже настроенную, пропатченную и т.п. ольку с нужными плугами, которая железно дебажит ехекриптор. Ссылки cadet'а дохлые обе.

| Сообщение посчитали полезным:

имхо какие-то версии криптора всё равно будут палить, из-за косяков в самой ольге
желательно убивать/замораживать поток с антиотладкой... В принципе бери любую более-менее
пропатченную и пару плагов (мой и адвансед) в принципе должно хватить...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

GodFather пишет:
это снова я и для вас на этот раз приготовил штуку
грузите её (exe или dll) в олли не через Make first pause at: System breakpoint
и плагины к IsDebugPresent вырубите для пущего эффекта
также делает и стар форс когда грузится в олли
Гениально и просто
КАК ЭТО ОБОЙТИ???
(этот прикол)

В общем то в чем прикол то? Стар не так работает.

| Сообщение посчитали полезным:

Hellspawn - угу, разобрался вроде =)

| Сообщение посчитали полезным:

Hellspawn
а зачем advanced в придачу к phantom?
как дополнение?
у меня какая -то сборка от hachno+phantom последний - и никакой криптор не палит

| Сообщение посчитали полезным:

r99 - ну выложи сборочку на всякий пожарный

| Сообщение посчитали полезным:

r99 пишет:
как дополнение?

он там некоторые баги правит))) пусть будет

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Ara
не выложу - так как смысла нет - запалите ее.
а во 2-х я не запускаю крипторных прог из OLLy

| Сообщение посчитали полезным:

Hellspawn пишет:
желательно убивать/замораживать поток с антиотладкой...
Если для распаковки можно смело прибивать CreateThread до ep

| Сообщение посчитали полезным:

r99 пишет:
а зачем advanced в придачу к phantom?

Там кроме вкладок Anti-Debug есть ещё три - загляни как-нибудь, не мало интересного увидишь

Ara пишет:
Выложите кто-нить уже настроенную, пропатченную и т.п. ольку с нужными плугами, которая железно дебажит ехекриптор.

дык, в общем-то оригинал с адванседом (отключенные опции хайда) и фантомом (задействованные опции хайда) - вот и всё, что нужно

| Сообщение посчитали полезным: