вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Gideon Vi пишет:
а зачем при налии фантома пользовать другие хайдящие плаги?
Это у меня он до фантома стоял. Я когда фантом поставил остальные не килял, ну и выскакивала ошибка.
Так потом ради интереса решил узнать с чем конфликтовало, вот и узнал
Сейчас из хайдящих тока адвансед и фантомка стоит.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Bronco пишет:
Всё время винду переустанавливать не будешь же.

Хм. Это наверное не мне?

Bronco пишет:
Даже при чистке,всё равно остаётся по 5-6 ключей,кильнуть которые,система не даёт.

Правый клик на ключе/разделе - Разрешения - Добавляешь свой логин и прописываешь ему полный доступ. Так тоже откроются не все, но уже большая часть будет доступна. Остальные можно сносить через WinPE, однако для решения проблем с сабжем это и не нужно.

| Сообщение посчитали полезным:

Assass1n пишет:
Сейчас из хайдящих тока адвансед и фантомка стоит.

В адванседе хайдящие опции лучше отрубить. Там это дело тупо сделано и тот же криптор прекрасно палит

| Сообщение посчитали полезным:

Gideon Vi пишет:
Это наверное не мне?
Да я обобщающе имел ввиду.
"Мистика" не только же у меня
------------------------
Вообщем,вот чудесная утиля,для файла реестра ОС,чтобы Винду не переустанавливать и т.д.,всего то нужно скинуть её в корневой диск,загрузить с болванки WinPe,запустить утилю и поудалять ключи,которые в нормальном режиме,система не даёт кильнуть.И будет и дроф грузиться и найды работать.
\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EXTREMEHIDE.SYS
\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FRDTSC.SYS
----------------
www.sendspace.com/file/msitmw
---------------
0.58 как ни странно для ПеПа лучше подходит,но с последней версией плага конфликты по загрузке дровины.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Вот справочку по синякам,рипанул с болванки,может тоже кому пригодиться.
www.sendspace.com/file/d47squ
//странный аттач,написанно 500,а он даже 200 кило не принимает

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Ссылочка на версию 1.01 мертвая. Может кто поделится последним extremehide.sys

maveric79@hotmail.ru

| Сообщение посчитали полезным:

Maveric
А накой нужен 1.01, если уже лежит 1.04 да и очередную чуть поправленую версию вот-вот выложим.

| Сообщение посчитали полезным:

Maveric пишет:
Ссылочка на версию 1.01 мертвая.

последняя - 1.04

Maveric пишет:
Может кто поделится последним extremehide.sys

он в ресурсах.

| Сообщение посчитали полезным:

ооо.. по стопам Руссиновича...
тогда круто.

Всем спасибо и болшой привет !!!

| Сообщение посчитали полезным:

Archer

Я пишу статью по распаковке ExeCryptor, применяя при этом plugin PhantOm v1.04. И столкнулся со следующей проблемой:
При установке флажка на опцию hook GetProcessTimes, plugin создает следующий код:

7C9002F5 BA 0003FE7F MOV EDX,7FFE0300
7C9002FA - E9 D6837C24 JMP A10C86D5
7C9002FF 080475 05B82200 OR BYTE PTR DS:[ESI*2+22B805],AL
7C900306 00C0 ADD AL,AL
7C900308 C2 1400 RET 14

Конечно адреса A10C86D5 в карте памяти нет, и программа дает сбой. Я проверил это явление на многих программах, как упакованных, так и не упакованных, и везде у меня сидит этот адрес.

Когда я убираю флажок с этой опции, то plugin прекрасно работает. Можно ли что-то сделать с этим косяком?

| Сообщение посчитали полезным:

vnekrilov
Я занимаюсь драйвером, а это юзермодная часть, ей хеллспавн занимается. Он уехал на некоторое время. Я ему сказал, как приедет-разберёццо, наверно, он адрес там попутал немного.

| Сообщение посчитали полезным:

да с адресами должно быть всё ок... хз чё за косяк, как приеду гляну =) vnekrilov хп? а gettickcount норм хукнулось?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
vnekrilov хп? а gettickcount норм хукнулось

Не проверял, не знаю. Посмотрю.

| Сообщение посчитали полезным:

vnekrilov
Кстати говоря, а снял ли ты галки с ОллиАдвансд, где ZwQueryInformationProcess? Имхо, нет, вот оттуда и адрес такой кривой.

| Сообщение посчитали полезным:

Archer пишет:
Кстати говоря, а снял ли ты галки с ОллиАдвансд, где ZwQueryInformationProcess? Имхо, нет, вот оттуда и адрес такой кривой.

Ты оказался прав. Я действительно не снял флажок с ZwQueryInformationProcess, и получил эту ошибку. Когда я снял этот флажок, то получил следующий код:

7C9002F0 > B8 9A000000 MOV EAX,9A
7C9002F5 BA 0003FE7F MOV EDX,7FFE0300
7C9002FA FF12 CALL DWORD PTR DS:[EDX]
7C9002FC 837C24 08 04 CMP DWORD PTR SS:[ESP+8],4
7C900301 75 05 JNZ SHORT 7C900308 ; 7C900308
7C900303 B8 220000C0 MOV EAX,C0000022
7C900308 C2 1400 RET 14

И все прекрасно заработало.

Archer

И еще один вопрос. При распаковке ExeCryptor приходится использовать OllyAdvanced с его опцией Break on TLS Callback. Нельзя ли эту опцию прикрутить к фантому.

| Сообщение посчитали полезным:

vnekrilov пишет:
Нельзя ли эту опцию прикрутить к фантому.

позже прикручу, нада с антиотладкой разобраться до конца....
а то какие-то косяки не понятные...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

так, LikeRusXP 5.19.5 лётает под новый версией плага...

что там ещё из софта детектит? пока время есть мона глянуть

з.ы. скоро будет релиз и мини тутор =) чтоб больше не было глупых постов...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

У меня LikeRusXP 5.19.5 отлично работает...
Но вываливаются MessageBox без текста сообщений которые приходят по net send
И как бонус получаю бсод при работе WinRar. Оба этих клюка происходят уже после работы в Olly c фантомом

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Hellspawn пишет:
что там ещё из софта детектит? пока время есть мона гля

Пишу статью по ExeCryptor. Загружаю программу RAR Repair Tool v4.0 в отладчик. Под фантомом она прекрасно запускается. В LOG записано:

>> Status: Driver loaded
>> Status: RDTSC hooked

Проверяю запись IAT, после чего устанавливаю BPM on access на область памяти 00B0FFC4 (VM). Программа нормально останавливается. Начинаю трассирование, и отладчик закрывается вместе с программой. Опять запускаю отладчик, загружаю программу, в журнале LOG вижу:

>> Status: Driver not loaded (code = -3)
>> Status: RDTSC not hooked (code = -3)

Обеспечить загрузку драйвера не получается. Перезагружаю машину, после чего все восстанавливается. Как можно обеспечить загрузку драйвера без перезагрузки компа?

| Сообщение посчитали полезным:

Maximus пишет:
У меня LikeRusXP 5.19.5 отлично работает...

странно, а не должен... он по RDTSC детектит...

vnekrilov пишет:
>> Status: Driver not loaded (code = -3)
>> Status: RDTSC not hooked (code = -3)

потому что дроф корректо не выгрузился... (ольга упала)

конечно можно набросать тулзу, которая в случае чего выгрузит дроф, но хз когда у меня руки дойдут до этого)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Кроме криптора и пепа полным полно прог с не хилой антиотладкой Пеп вообще не показатель так как валиться на многих системах без всяких дебагеров ;) Строить на нем плуг имхо вообще утопия..

| Сообщение посчитали полезным:

Hellspawn пишет:
конечно можно набросать тулзу, которая в случае чего выгрузит дроф, но хз когда у меня руки дойдут до этого

А можно ли дроф выгрузить вручную? Если можно, то как?

| Сообщение посчитали полезным:

хех, сказали падает, глянули с арчи, терь не падает решено было добавить ещё 1 опцию,
потом увидите...

з.ы. потом уже поздно будет что либо смотреть))

vnekrilov пишет:
А можно ли дроф выгрузить вручную? Если можно, то как?

страндартно, как все дрова... ну там ещё некоторы ньюансы, если хочешь могу кинуть код для выгрузки дроф =) тока если будешь туулзу кодить

или я сам что нить попробую...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
или я сам что нить попробую...

Попробуй сам.

| Сообщение посчитали полезным:

Hellspawn
Хм.. странно, а что не вариант в ODBG_Plugininit сделать проверку на наличие твоей запущенной в системе службы, если она запушена, то тогда запустить код, который выполняется для завершения корректной работы и выгрузки драйвера в ODBG_Plugindestroy, ну или в ODBG_Pluginclose, и потом продолжить нормальную работу плуга?
Считаю, что это надо было сделать еще сразу, когда только появился в плагине драйвер
Если условие выполнено и возвращено вот это:
>> Status: Driver not loaded (code = -3)
>> Status: RDTSC not hooked (code = -3)
CALL на ODBG_Plugindestroy/ ODBG_Pluginclose, если все окей то опять на процедуру загрузки драйвера (если нет, месагу о баг-репарте(и редми))
Ну, или напиши в кратце, почему нельзя реализовать выше написаное?
ЗЫ: ИМХО
ЗЫЫ: я еще плуг не ставил, ориентировался по постам товарища vnekrilov`а, так что не пинайте сильно, может чего-нибудь и не заметил…

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Если со включенной опцией хука RDTSC запустить какое-нибудь досовское приложение, то система уходит в ребут.

| Сообщение посчитали полезным:

Errins
Попробовал на Ganja Farmer. Реально казус, разберёмся.

| Сообщение посчитали полезным:

pavka пишет:
Строить на нем плуг имхо вообще утопия..
Если гад эту фишку юзает,и на горячем заловили,почему бы не прикрутить антифишку и не по тестить на нём?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn пишет:
странно, а не должен... он по RDTSC детектит...
Я пробовал на ольке под execryptor пропадченной, может по этому работает...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
Я пробовал на ольке под execryptor пропадченной, может по этому работает...

хз хз)) у тя мошный комп? т.к. я поправил 1 константу в плаге и всё начало летать...
было решено её вынести в едит

-----
[nice coder and reverser]

| Сообщение посчитали полезным: