Китайцы обновили плуг
bbs.cracktool.com/viewthread.php?tid=28854&extra=page%3D1
OllyDBG v1.10 plugin - StrongOD v0.18 [2008.09.18]
OllyDBG v1.10 plugin - StrongOD v0.18
Temptress Moon Shadow by sea [CUG]
================================================== ==================
[2008.09.18 v0.18]
1, to repair the Ctrl + G calculation rva, offset when a small BUG
2, when the program is not running the state, Detach before running program
3, restoration of the original data OD zone copy BUG
4, repair od after the CPU running very high occupancy rate BUG
5, you can set it to skip some of the exception handling

[2008.09.02 v0.17]
1, to skip some of the improper handling of the abnormal OD
2, correctly handle the instructions int 2d

[2008.08.31 v0.16]
1, joined the drive to protect the process, the hidden window, over most of the anti-debugging
2, driver support for the custom equipment 000 (ollydbg.ini of DeviceName, equipment were not more than 8 characters)
ollydbg.ini of [StrongOD], you can set up their own
HideWindow = 1 to hide the window
HideProcess = 1 to hide the process
ProtectProcess = 1 protection process
DriverKey =- 82693034 and the key driver of communication
DriverName = fengyue0 who drives (not more than 8 characters)

3, OD will be the creation of the parent process into the process explorer.exe (copied from shoooo code)

////////////////////////////////////////////////// ///////////

The increase in the version of the driver, if a blue screen, set up minidump spread to the Forum, thank you
OllyDbg original use as much as possible, and other generally do not need the anti-anti plugin in conjunction with plug-in (including phant0m)

[Note of the final film Temptress Moon by the sea in the editing 2008-9-19 20:52]

House accounts, anti shell had the option to use the skills and

The following are no special note are the original OD add a plug-in plug-in StrongOD operate



Ollydbg.ini in the first [Plugin StrongOD] the following HideWindow, ProtectProcess into the value of 1, the value of KernelMode turned into a preserve



1, Themida / WinLicense

Plug-in option to set a minimum
Original run OD, included in the main program Themida v1.9.9.0, stopped at the entrance after the removal of all breakpoints, Shift + F9 up-and-run
2, ExeCryptor v2.4.1
Plug-in option to set a minimum
Original run OD, set up break point on break point in the system to stop
ExeCryptor v2.4.1 included in the main program, stopped at the breakpoint system, according to Alt + B, remove the breakpoint EP
And then Shift + F9, you can
3, TTProtect v1.05 DEMO
Plug-in option to set a minimum
Original run OD, loading TTProtect v1.05 DEMO main program, Shift + F9
4, VMProtect v1.65.2
vmp v1.65 added to the xp system under the OD of the new anti
Plug-in option to set a minimum
Original run OD, loading VMProtect v1.65.2 main program, Shift + F9

| Сообщение посчитали полезным:

Bronco
Он же вроде палит дров фантома?

Gideon Vi
Можешь залить последний что у тебя есть?

Bronco, Gideon Vi спасибо, помогло . Извиняюсь за оффтоп

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Он же вроде палит дров фантома?

Bronco пишет:
[Plugin StrongOD]
KernelMode=1
CreateProcessMode=2
// есть пару фич антидебага, которые фантик пока не перекрывает, хотя... обойти их не сложно.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Что-то столько положительных отзывов. А от извращенческих защит с перехватом int1 и int3 strongOD тоже поможет? А то с Фантомом у меня что-то не вышло(

| Сообщение посчитали полезным:

оля и плагины к ней это только ринг3
перехваты прерываний в ринг0
так что без собственного драйвера плагины тебя не спасут
только вот такие перехваты были только в старе 3ем, сейчас таких защит нет

| Сообщение посчитали полезным:

Так я и занимаюсь 3им старом. Пока все имеющиеся у меня игры не распакую - не успокоюсь. Хотя бы ради того, чтоб на x64 шло.
А вообще, я знаю, что тот же фантом свой драйвер ставит при запуске. Думал, этот плагин тоже что-то подгружает. Нафиг тогда это всё, если от этих дров пользы никакой и всё писать надо?

| Сообщение посчитали полезным:

Бггг, а ты хотел 1 большую кнопку ПЫЩ? И сразу всё полетело? Может, чтоб сразу и распаковало? Если и ставит драйвер, это не значит, что непременно лезет в прерывания. Если тебе пользы нет-не ставь, никто не заставляет.

| Сообщение посчитали полезным:

Gauri пишет:
Так я и занимаюсь 3им старом

Ольгой? Не майся дурью.

| Сообщение посчитали полезным:

Gideon Vi
Вообще-то Basic версия (без ВМ) на ура снимается юзер-модовским WinDbg (при всём уважении к Олли и всем её плагинам, самый корректно работающий отладчик) + ImpRec с самописным плагином. Проблема именно в неудобстве копания ВМ.
Archer
Большой кнопки ПЫЩ я не хочу. Я хочу, чтоб отладчик вместо int3 и int1 использовал другое прерывание. В таблице прерываний вполне можно свободное найти, чтоб на него и посадить. Что приводит меня в недоумение - так это почему, когда я в различных плагинах ставлю галочку Flexible Breakpoints (что, по идее, должно как-то помочь), отладчик, ставя бряку, всё равно внедряет в код int3 команду?

| Сообщение посчитали полезным:

Gauri пишет:
Что приводит меня в недоумение ...
отладчик, ставя бряку, всё равно внедряет в код int3 команду?

А как по другому процессор поймет что ты хочешь здесь прерваться (без регистров DR?) Что такое "Flexible Breakpoints"?

| Сообщение посчитали полезным:

Gauri пишет:
Что приводит меня в недоумение - так это почему, когда я в различных плагинах ставлю галочку Flexible Breakpoints (что, по идее, должно как-то помочь), отладчик, ставя бряку, всё равно внедряет в код int3 команду?
Насколько я понимаю, это(Flexible Breakpoints) относится только к EP...

| Сообщение посчитали полезным:

sss
Просто другой int использовать. А в его обработчик засунуть то, что раньше было обработчиком int3. Дело-то не в процессоре, а в системном обработчике прерывания.

xskv
Вот блин... Опять всё хуже, чем я думал(

| Сообщение посчитали полезным:

Да, Flexible breakpoint меняют бряки с инт3 на другие. И точка входа здесь вообще не при чём. Но и фантом не при чём, это не в нём сделано. В принципе инт3 можно пересадить. Что касается инт1-с ним ничего не сделаешь, т.е. ДР бряки и синглстеп слетит по-любому, если, конечно, не реализовать его не через TF, а через умный дизасм и определение адреса.

| Сообщение посчитали полезным:

Блин не понял. Команда int3 меняется на другую? Я думал из всех прерываний только int3 однобайтовый опкод имеет. А тут оказывается можно еще что-то использовать?

| Сообщение посчитали полезным:

StrongOD v 0.3.3.625

DOWNLOAD

| Сообщение посчитали полезным:

Gauri пишет:

Так я и занимаюсь 3им старом. Пока все имеющиеся у меня игры не распакую - не успокоюсь.

Эх, только после прочтения таких смелых заявлений понимаешь весь смысл выражения "покой нам только снится". Не в обиду будет сказано, но с таким исчерпывающим знанием ринг0 - тут не то, что удачи, тут чуда надо желать.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

последний линк умер, на унпак.цн есть 0.3.4, расшарьте пожалуйста ;)

| Сообщение посчитали полезным:

sss, можно на любую однобайтовую команду, которая вызывает прерывание

| Сообщение посчитали полезным:

0.3.4

13b6_08.06.2010_CRACKLAB.rU.tgz - StrongOD.rar

| Сообщение посчитали полезным:

Nightshade пишет:

0.3.4

13b6_08.06.2010_CRACKLAB.rU.tgz - StrongOD.rar
Аваст вирусняк обнаружил. Это сам плуг или что-то другое?

| Сообщение посчитали полезным:

ZLOvar пишет:
Аваст вирусняк обнаружил. Это сам плуг или что-то другое?
оно орёт на дровину, каспер тоже начал недавно орать, после обновление баз

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

StrongOD 0.3.5.639

DOWNLOAD

| Сообщение посчитали полезным:

блять, чо хня, пробывал сливать с разных обмеников, также открывать и винраром и 7з, оба говорят что неизвестный метод сжатия.... кто слил и удачно открвл архив, перезалейте пжл

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

rghost.ru/2113054

| Сообщение посчитали полезным:

Av0id спс
но всё равно каспер орёт на дровину

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV пишет:
но всё равно каспер орёт на дровину

а не должен?

| Сообщение посчитали полезным:

Gideon Vi пишет:
а не должен?
я надеялся, что они там поправят что-то, чтоб хоть авиры не ругались, мне так было бы "спокойнее", а так пришлось отказатся от плага, тяжко бывает иногда без него

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV
напиши свой)


можно даже IDA Stealth переделать под ольку. Просто Plugin API заменить.

BoRoV пишет:
они там поправят что-то, чтоб хоть авиры не ругались
Они не умеют декомпилировать ленты вмпротекта (по крайней мере, создаётся такое впечатление). Если бы авторы плагины были поумнее и не вешали каржанный прот на своё творение (видимо охраняют свои гениальные NowHow), то всё было бы проще. Примером может служить фантом - никакой защиты. Можно даже допилить при желании.

| Сообщение посчитали полезным:

я дрова писать не умею

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

вечно новый стронг
www.safengine.com/download/update/StrongOD/StrongOD.dll

| Сообщение посчитали полезным:

Nightshade
Теперь проект переехал на новое место sod.ibt.name , для того чтобы плуг обновлялся нада поменять в ollydbg.ini:

[Plugin StrongOD]
UpdateURL = sod.ibt.name/update.txt


StrongOD v0.3.6

[2010.08.17 v0.3.6.650]
1Ј¬РЮёґТ»ёцЗэ¶ЇїЙДЬµДА¶ЖБBUG
2Ј¬·АЦ№OD±»postmessage№Ш±Х
3Ј¬РЮёґ·ЦОцPEµДТ»ёцBUG
4Ј¬Зэ¶ЇЧЄТЖµЅКэѕЭ¶О

www.multiupload.com/FA5WTZTKHH

ThugboyZ
К сожалению на английском не нашел( но гугл еще никто не отменял)

| Сообщение посчитали полезным: