вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Три линка с главной страницы hellspawn.nm.ru хотел скачать Фантом) ни 0.57 ни 0.55 ни 0.51 не качаются... сервак грит нету таких файлов... подправиль линки, плз

-----
Researcher

| Сообщение посчитали полезным:

Вот http://www.exetools.com/forum/showthread.php?t=8211 еще
ссылка на скрытие (еслия верно понял).
Если к то зареган на этом форуме, перезалейте плиз 2 файла, которые в теме выложены...

| Сообщение посчитали полезным:

Mavlyudov
Раз.

6475_22.08.2007_CRACKLAB.rU.tgz - Detect.zip

| Сообщение посчитали полезным:

Mavlyudov
И два. Хотя топик довольно и старый.

4885_22.08.2007_CRACKLAB.rU.tgz - debug2.rar

| Сообщение посчитали полезным:

Demon666 пишет:
Считаю, что это надо было сделать еще сразу, когда только появился в плагине драйвер
Если условие выполнено и возвращено вот это:
>> Status: Driver not loaded (code = -3)
>> Status: RDTSC not hooked (code = -3)

Я пока нашел такое решение. Фантом драйвера загружает в каталог TMP, и эти драйвера не видны в Проводнике Windows, но видны в FAR. Втупую, по F8 удаляю не выгрузившиеся драйвера, после чего запускаю Olly, и эти драйвера нормально грузятся.

| Сообщение посчитали полезным:

Чё то тема загибается!!!!
Где обещанный релиз?
//Лето то кончается!!!

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Тссс, всё будет норм. Уже скоро. ;)

| Сообщение посчитали полезным:

Изучаю программу запакованную Execryptor 2.2.4. Там есть детект брекпоинта на EP(байт СС на EP) из функции вызываемой посредством TLS callback. Хотел использовать у Phantom'а опцию Remove EP break. Но это не помогает, приходится вручную удалять бряк,прерывая пограмму на TLS callback. Phantom отрабатывает правильно в данном случае?

| Сообщение посчитали полезным:

tempread

это помогает если руки растут из правильного места! =
ничё не нада прерывать, ставь галку и всё удалиться...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Я галку ставлю, но Execryptor детектит брекпоинт и из програмы выходит не доходя до EP.

P.S. Запуская другие,незапакованные програмы вижу,что действительно пропускает EP.

| Сообщение посчитали полезным:

tempread
ИМХО
У тебя стоит в настройках олли Систем брейкпоинт, чтоб пользоваться Remove EP break в настройках должно стоять WinMain. Но тогда у тебя прога сразу будет запускаться на выполнение, тебе же в начале проги надо тормознуться в любом случае чтоб запустить скрипт OEP finder script by HAGGAR.
Применительно к Execryptor'у Remove EP break нужно использовать совместно с break on TLS callback, ищи эту опцию в плуге олли эдвансед или жди когда её добавят в Фантом.

| Сообщение посчитали полезным:

нашёл небольшой косяк, не всегда мог удаляться бряк...
в новой версии всё айс... но удалиться тока если выбран Систем брейкпоинт

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Amok
В настройках стоит WinMain.
На всякий случай попробовал System Breakpoint - ситуация не изменилась.

Применительно к Execryptor'у Remove EP break нужно использовать совместно с break on TLS callback, ищи эту опцию в плуге олли эдвансед или жди когда её добавят в Фантом.
Так и делал.

Ждем новую версию Phantom

| Сообщение посчитали полезным:

Вопрос от новичка... Я пытаюсь отлаживать программу после распаковки екзекриптора,в ней есть проверки(и в них антиотладка). Использую phantom со всеми опциями. Нашел очень подозрительную функцию,поставил на нее Hardware бряк. И все,Оля вылетает при запуске проги(окно закрывается). Бряк снимаю, программа запускается.Ситуация повторяема. Вот теперь вопрос: Phantom не от всех методов детекта hardware бряков защищает? Или это просто у меня какой-то косяк(мой)?
Дебажил под VMware.

| Сообщение посчитали полезным:

не от всех а слетаеть может из за многих причин

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

tempread пишет:
поставил на нее Hardware бряк.

Вообщето не рекомендуется ставить хардварные бряки в прогах, накрытыми говнопротом, только мемори.

| Сообщение посчитали полезным:

наконец-то свершилось...

Extreme Debugger Detector 0.50
hellspawn.nm.ru/works/EDD.0.50.zip

PhantOm plugin 1.15
hellspawn.nm.ru/works/PhantOm.plugin.1.15.zip

всё в ридми + от себя добавлю:
- удалялка бряка на ер, работает только, если вкл. остановка на систем бряке.
- в ольгином ini файле добавлен параметр в секии плага: DELTARDTSC, позволяет задавать
интервал разброса RDTSC, типо макс значение

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Уже прям заждались =) На днях обязательно откатаю...


[!] Protect DRx.
[!] Hide DRx.

А чем они отличаются и как включается хайд?

| Сообщение посчитали полезным:

HoBleen пишет:
[!] Protect DRx.
[!] Hide DRx.

они включаются одной галочкой, просто реализовывал по отдельности, а потом объединил...
Отличается, тем что хайд подменяет адреса бряков, так что отлаживаемая прога ничего не заметит,
а протект, не даёт переписать их... (ну это в идеале). Для теста запусти EDD поставь хард бряки и
поиграйся опцией...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

HoBleen пишет:
Уже прям заждались
+1
Ща и начнём катать.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Открою страшную весть: мы немного драйверок перепутали поэтому:
1. может чо-нить глючить, ибо версия драйвера не последняя (помидорами не кидать)
2. есть возможности, которые реализованы в последнем драйвере, но не выведены в релиз
Так что ждите, может, ещё чо-нить релизнем.

| Сообщение посчитали полезным:

А в архивчике 1.10 вроде
Дровина работает чётко//сплюнул,чтоб не сглазить
rdtsc то же чётко
//пеп в жопе,лЁтает без капризов
Хотя EDD на rdtsc палит Ольку,пишет что надо 1000<хук>2000

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn пишет:
наконец-то свершилось...

мням

Bronco пишет:
А в архивчике 1.10 вроде

ага, в эбауте говорит, что 1,10, а в инишнике: VERSION=115

Bronco пишет:
Хотя EDD на rdtsc палит Ольку,пишет что надо 1000<хук>2000

Я DELTARDTSC=15000 поставил

| Сообщение посчитали полезным:

Gideon Vi пишет:
Я DELTARDTSC=15000 поставил

Скинь ссылку, плиз

| Сообщение посчитали полезным:

vnekrilov

Hellspawn пишет:
hellspawn.nm.ru/works/PhantOm.plugin.1.15.zip

Hellspawn пишет:
- в ольгином ini файле добавлен параметр в секии плага: DELTARDTSC, позволяет задавать
интервал разброса RDTSC, типо макс значение

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus

Спасибо за консультацию.

| Сообщение посчитали полезным:

значение DELTARDTSC надо самому подобрать для своей машинки (посмотри скока у вас дельта без отладчика и скока с ним), зн-ие по дефолту подходит для моей тачки (но она у мну не слабая)
по-этому так вот)))

Gideon Vi пишет:
ага, в эбауте говорит, что 1,10, а в инишнике: VERSION=115

мой косяк, забыл в самом плаге поправить))) ну лан, всё равно скоро новый дроф прикручу + вынесу
в окно с опциями едит, для ввоба дельты

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Напиши примерно 3-4 разных процессора и какое для них должно быть значение DELTARDTSC. А то я для своего процека не могу подобрать. Не понятно в какую сторону надо экстраполировать. Один анпакми не могу побороть, палит меня на RDTSC.

| Сообщение посчитали полезным:

Hellspawn пишет:
посмотри скока у вас дельта без отладчика и скока с ним
Вот жил не тужил,а терь хочется глянуть,знать бы тока куда.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn
у меня почему то последний edd палит ольку с фантомом на GetTickCount и Invalid Handle

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным: