собственно сабж, в принпице спрятать ольгу не сложно, все методы известны...
Перечислять всю антиотладку в говнопроте нет смыла...
но вот скачал прогу FastSatfinder на ней один из последних EXECryptor
(скорее всего в защите выставлены не все галки) но есть новый трюк с "Invalid Handle"

теперь ближе к делу, под олькой эта прога падаед, никак не могу заставить
её работать. Под моим Easy Debugger всё ок) достаточно было сделать

case DE.Exception.ExceptionRecord.ExceptionCode of
EXCEPTION_INVALID_HANDLE : ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_CONTINUE);
EXCEPTION_BREAKPOINT : Form1.ExceptionBreakpoint(DE);
EXCEPTION_SINGLE_STEP : Form1.ExceptionSingleStep(DE);
else ContinueDebugEvent(DE.dwProcessId,DE.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
end;

и всё как надо, я не могу понять почему, что-то олли не так обрабатывает...
просьба скачать прогу и попробовать запустить под любой сборкой олли (Snadow,OllIce и т.д.)!
поиграть плагинами, и если запуститься то отписаться какая сборка, плаги, ось
это очень важно...

тут прога:
2.28 mb
http://download-zone.org/10484 http://download-zone.org/10484

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Cigan у стара такая же фишка с потоком что он идет мимо олли
или научиться прибивать или перехватывать этот поток в длл
или скоро на всех современных протах эта фишка стоять будет
и тогда будет геморно

| Сообщение посчитали полезным:

GodFather, тебе геморно воткнуть бряк в ЕР дэлельки?

| Сообщение посчитали полезным:

Olenevod а если допустим там не одна длл а допустим до фига
это что я должен в каждую длл в EP бряк ставить?

| Сообщение посчитали полезным:

GodFather пишет:
я должен в каждую длл в EP бряк ставить?
А почему бы и нет, собственно? Тем более, что все длл тебе скорее всего нафиг не понадабятся.
З.Ы. топик называется Скрытие OllyDbg от EXECryptor, причем здесь звездосила?

| Сообщение посчитали полезным:

Блин ща на висту перешол И плагин его не скрывает (дебаг флаг)
Никто не разбирался (Какой из плагинов к оле работает (скрывает отладку))?

| Сообщение посчитали полезным:

SWR зря ты на висту перешел

| Сообщение посчитали полезным:

GodFather пишет:
если допустим там не одна длл а допустим до фига
это что я должен в каждую длл в EP бряк ставить?
Вообще то есть плагин для этого дела

GodFather пишет:
такая же фишка с потоком что он идет мимо олли
Что значит такая же ? и вообще о чем ты?

| Сообщение посчитали полезным:

SWR пишет:
Блин ща на висту перешол И плагин его не скрывает (дебаг флаг)
Никто не разбирался (Какой из плагинов к оле работает (скрывает отладку))?
под вистой непашет фантом от Hellspawn'a, так же не пашет Advanced Olly и из-за эдвенчера оля вылетает я немного искал плаги, которые скрывают Олю в висте, но пока так и не нашел

| Сообщение посчитали полезным:

SWR
VAD87
Сорри, но но вы, ребята, если конечно не задались разработкой методов и алгоритмов скрытия Оли под Вистой, просто приключения себе на задницу ищете. Если уж к Витсе такая пылкая любовь, то поставьте для реверсинга второй осью XP и все муки уйдут.

Чтобы не было оффтопа аттачу "свой" комплект, в котором патч для Оли + чуток правленный скрипт HAGGAR-а. Из плагов достаточно использовать только Фантом, все лишнее лучше вообще убрать. В настроках Экспешенов Оли поставить все галки и задать диапазон: 00000000..FFFFFFFF. У меня работает железно.

6c90_28.07.2007_CRACKLAB.rU.tgz - ExeCryptor_anti_debug.rar

| Сообщение посчитали полезным:

YDS
Чтобы не компарить .bak с патченным, под ShadowOllyDbg можешь сделать?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

оффтоп:
YDS пишет:
SWR
VAD87
Сорри, но но вы, ребята, если конечно не задались разработкой методов и алгоритмов скрытия Оли под Вистой, просто приключения себе на задницу ищете. Если уж к Витсе такая пылкая любовь, то поставьте для реверсинга второй осью XP и все муки уйдут.
хех)))) Вообще основная ось у меня XP SP2 ;) а Виста, 2003 Server и прочие оси стоят просто для тестинга и для изучения ;))
А вообще фантом+Advanced Olly+Hide Toolz и оля точно нечем палится не будет ;)

| Сообщение посчитали полезным:

VAD87 пишет:
А вообще фантом+Advanced Olly+Hide Toolz
Да всё палиться,даже с этой "дикой" связкой....))))
Попробуй RLPack сам увидишь,да и криптор тоже палит на некоторых сабжах.
Видно зависит от опций.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Да всё палиться,даже с этой "дикой" связкой....))))

нее)) это ты что то путаешь, у меня RLPack ничего не палит с одним фантомом...
я бы сказал зависит от Олли

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
у меня RLPack ничего не палит
Типа тот "крякми" всё таки пригодился?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Типа тот "крякми" всё таки пригодился?

дык там банально окошки были.. Скоро они у всех пойдут лесом, я почти дизасм закончил)
ща потестим с Арчи и прикрутим...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
я бы сказал зависит от Олли

+1 Добавляем трик, убивающий олю и пионеры идут по грибы )

| Сообщение посчитали полезным:

Hellspawn пишет:
Скоро они у всех пойдут лесом
Пора в общак скидываться на презент вам обоим с Арчером.
Сообщество!!!
Как считаете,правильно?
Ну и сразу,по сколько,и куда?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Ещё рано, вот будет релиз с окошками всеми патчеными и с багами запатчеными для пущей совместимости с другими драйверами (уже почти готово), тогда оцените. ;)

| Сообщение посчитали полезным:

Вот файл от одного скринсейвера укрытый ExeCryptor-ом, который детектит OllyShadow + PhantOm 0.60 + OllyAdvanced 1.26b12 даже если скринсейвер запустить в sandboxie, а olly потом, вне сандбокса. Не детектит только с HideToolz.

mihd.net/pnj0gl

Только как скринсейвер не запустится, так как рипнутый. Запускать в режиме Configure.

| Сообщение посчитали полезным:

Hellspawn, твой плагин защищает ведь хард бряки от обнаружения execryptor ?
Ставлю хард бряк на ReadProcessMemory чтобы поймать прот на чтение запущенных процессов. Но отладчик не отстонавливается на этом бряке, но отдельно запущенный отладчик видит и закрывает его, когда патчю эту функцию, чтобы она eax=0 возвращала, то ничего не закрывает. Так что он 100% использует эту функцию.

Поэтому вопрос почему не удается остановиться там ?

| Сообщение посчитали полезным:

mazaxak я не помню, что там с EXECryptor'ом уже попробуй обычный бряк поставить куда-нибудьт в конец функции.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: