вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
драйвер для скрытия драйвера все ОК!

| Сообщение посчитали полезным:

Hellspawn пишет:
говорим чё добавить, от чего ещё спрятать...

Fake Windows Version

Для тех, кто не хочет отказываться от адванседа-плагина.
Конфликт с опциями:
Ignore and skip C0000008h
UnhandledExceptionFilter
ZwQueryInformationProcess
GetTickCount
NtGlobalFlag
HeapFlags
ForceFlags

| Сообщение посчитали полезным:

Gideon Vi

спасибо, добавлю пердупреждение в ридми...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Windows Xp SP2 запуск файла упакованного Execryptor с галочкой на fake windows version- вылетает ошибка "Can't load Ole32.dll", без галочки все окей. Буду рад если это как-нибудь поможет в отладке плагина.

| Сообщение посчитали полезным:

>интересно как скоро это появится у китайчегов
Хочешь выложу ..
скачал тот архив.. winrar грит битый..

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
скачал тот архив.. winrar грит битый..

винрар ф топку... 7zip решаед

cdt пишет:
"Can't load Ole32.dll"

хм, может она версию винды чекает.. лана попробую что нить придумать..

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

[OFFTOPIC]Иногда вижу, что на форумах тулзы выкладывают не авторы. Вот интересно это вообще в сцене этично считается или нет?[/OFFTOPIC]

-----
Researcher

| Сообщение посчитали полезным:

Hellspawn пишет:
добавлю пердупреждение в ридми...

К стати, я не уверез по поводу одного только ZwQueryInformationProcess - при выставлении этой опции начинает палиться плагин. Если её убрать, а остальные Zw*** оставить, то тест проходится нормально. Означает ли это, что сабж защищает только от этой проверки?

| Сообщение посчитали полезным:

Gideon Vi пишет:
Означает ли это, что сабж защищает только от этой проверки?

чё за бред? спать надо больше... мой плаг защищает от того, что написано в ридми...
или я вопрос не правильно понял)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
спать надо больше...

Больше надо спать. Ну или лучше читать ридми

| Сообщение посчитали полезным:

Hellspawn
Grand merci. Первый плуг, с которым у меня пошел криптор! Не работает тока версия выни. Ну это мелочь. Молоток!
Ну и с днем рождения, соответственно. Удачи, брат. Родина тебя не забудет

| Сообщение посчитали полезным:

На всякий случай скажу, что драйвер к этому плагу и всё, что связано с драйвером, писал я. Если есть какие пожелания (что-то добавить/удалить) или косяки насчёт драйвера, пинать меня.

| Сообщение посчитали полезным:

Archer
4 BCODа за полчаса много !

| Сообщение посчитали полезным:

pavka пишет:
4 BCODа за полчаса много !

это ты наверное что то экстримальное отлаживаешь))) дров не должен так косячит,
в принципе он очень стабилен, у мну ниразу не было бсода... ну ты говори как повторить,
а мы исправим...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
ты не поверишь совершенно безобидный анпакми скаченый у немцев! Простенький и довольно прикольный!
Скорей всего конфлит с какими то дровами

c001_23.01.2007_CRACKLAB.rU.tgz - gRn-wTF-cMe.rar

| Сообщение посчитали полезным:

Hellspawn
Не хочешь добавить обработку и "NtRaiseException" , там делов проверить самому хендл и драйвер уже есть (в аттаче прога (ты ее уже наверно видел ), что юзает этот способ)
ели есть желание то могу дать свой исходник драйвера или обхода ани дебага int 1 ,то что юзает страрфорсе 3 ххх, правда для олки надо его еще чуть доработать, но ICE дружит со старом при этом драйвере.

| Сообщение посчитали полезным:

сори

3c50_23.01.2007_CRACKLAB.rU.tgz - Anti_debug.tgz

| Сообщение посчитали полезным:

Faza хм, у мну на этом тесте не детектит...
просто в игнор все исключения и усё

Faza пишет:
Не хочешь добавить обработку и "NtRaiseException" , там делов проверить самому хендл и драйвер уже есть (в аттаче прога (ты ее уже наверно видел ), что юзает этот способ)

как я понял в аттаче юзается бага с CloseHandle?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

pavka
Погонял я этот анпакмис, у меня нормально работает. В принципе драйвер ничего особенно не делает, только хучит функции. Может дерётся с другими дровами за хуки, попробуй выгрузить фаер/антивирь, кто ещё может хучить...
Faza
С драйвером я работаю, поэтому в области драйвера что-то сделать-это ко мне. Тут не в NtRaiseException дело, по крайней мере, если поставить галку передавать эксепшн проге, то пройдёт нормально, а вот CloseHandle, на котором там вторая проверка есть, уже похукан. Другими словами, у меня Олька не палится. А насчёт int 1, может и реализую, в ПМ кину контакты.

| Сообщение посчитали полезным:

PhantOm plugin 0.53

[*] теперь драйвер находится в ресурсах
[*] добавлена защита от NtSetInformationThread
[*] исправлен баг с Fake Windows version.

li.ru/go?hellspawn.nm.ru/works/PhantOm.plugin.0.53.zip

з.ы. просьба потестить многострадальную "Fake Windows version"

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
з.ы. просьба потестить многострадальную "Fake Windows version"
Всё отлично работает:
-[ GetVersion ]
Status: Windows Me 04.90.1998
Респект за плагин!

| Сообщение посчитали полезным:

Hellspawn
PhantOm plugin 0.53 глюк такой:

первое что глянул было Offline Explorer Enterprise 4.5
WinXP Prof SP-2

На всех опциях ругается на Юникод Win 95, он меня уже просто ним замучал.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin пишет:
На всех опциях ругается на Юникод Win 95, он меня уже просто ним замучал.

мля, вот если не знаешь нафиг лезть? "Fake Windows version" - из названия не понятно, что
опция делает? для тех кто в танке - это опция подменяет версию винды и прога может
после этого глючить, сделано это было в основном для протов! о чём я уже упоминал выше...

андерстуд?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
мля, вот если не знаешь нафиг лезть?
ты о чём вообще?
Hellspawn пишет:
андерстуд?
Ес, офкос!!!
Кстати всё-равно вылетает часто ошибка с int3 breakpoints, стоит убрать все галочки, всё нормуль, обрати на это внимание.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin пишет:
ты о чём вообще?

проехали)))

aspirin пишет:
ошибка с int3 breakpoints

я о такой первый раз слышу, можно чуть поподробнее? Посмотри олькин лог после этой "ошибки"
есть ли там строки красным?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
з.ы. просьба потестить многострадальную "Fake Windows version"

Всё работает отлично, спасибо за релиз. Если вопрос "от чего ещё скрыть" остаётся в силе, то я бы предложил пробежаться по остальным функциям того же advancedolly (хотя бы скрывающим, а так не плохо и баг-фиксы), включая и многострадальную TLS

| Сообщение посчитали полезным:

Hellspawn пишет:
Fake Windows version
Не защищает от GetVersionEx - говорит, что у меня винда МE Service pack 2 =)

| Сообщение посчитали полезным:

и чего? такая то же есть... разбираюсь с ПЕБ что-то никак не найду, где там сервис пак то

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Лучше нормальный anti-rdtsc сделайти, а то половина что я пробовал не запускается, а другая всегда после rdtsc возвращает 0

| Сообщение посчитали полезным:

нормальный сделать неполучиться можно либо:

1) 0 возвращать
2) константу
3) константу + счётчик

больше идей нет..

з.ы. с версией разобрался, позже поправлю... еще GetTickCout перепишу

-----
[nice coder and reverser]

| Сообщение посчитали полезным: