вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

PE_Kill

был бы очень презнателен

Bronco пишет:
Какие выводы делать?

а фиг знает =) пореверси там, глянь что не так...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Попробовать можно,но не обещаю,что ТАМ справлюсь.
Вы же в дроф накидали новых хуков.
Радует факт,что они уже выгружаются.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

sniperZ пишет:
PrevedSMS ваще не запускаецц0 сцук0. не так, не под олькой. фантом бессилен.

Причина в том, что в PrevedSMS v5.1 разработчики впихнули защиту с помощью пары API - CreateThread и WaitForSingleObject. Первая API создает поток защиты, а вторая - проверяет ее активность. При попытке отключить эти API в отладчик, протектор каким-то образом детектит свое нахождение в отладчике, и устанавливает блокировку чтения памяти программы (видимо использует VirtualAlloc). Я сейчас разбираюсь с этим вопросом. Фантом здесь не виноват, он просто этого и не должен делать.

Bronco пишет:
Вот экземплярчик этоn sms,загрузишь дроф - куражиться что обнаружил отладку,выгрузишь - нормально стартует(в винде).

Пакер где-то проверяет системное время. Если с этим разберешся, маякни.

| Сообщение посчитали полезным:

vnekrilov
Скорее всего идёт проверка на время выполнения отдельного участка кода.
Хук GetProcessTimes перенесли теперь в драйвер.
И даже Ольку закрыв,дроф с хуками в системе остаётся.Поэтому прога и не стартует.
Но если унхукером выгрузить NtQveryInformationProcess,прога стартует,хотя работает бажно.
Я пока не заморачивался сильно,потому что сам сабж оторвать не сложно,всё фактически в стиле тутора Пе_Килл.,и даже проще.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

vnekrilov пишет:
CreateThread и WaitForSingleObject
это давно известно. в тред суешь рет, а в WFSO вместо -1 - 0 . но там дело не в этом. причины написал пе кил...=)

| Сообщение посчитали полезным:

Заметил интересную особенность. Баг или не баг - ещё не решил.
Если правой кнпкой на файле - Open with OllyDbg - то тогда фантом не хайдит окна, если же сначало запустьть Олю и тупо перетянуть на неё файл, точнее сначало запустить отладчик, а потом любым из способов загрузить в него файл, то всё хайдится как и должно быть.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Assass1n
Такое вроде и раньше наблюдалось, но пофикшено не было

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

попробовал ща, вроде хайдит, по крайней мере хуки стоят =)
может я поправил что, уже не помню...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
надо попробовать отобрать у ольги их обработку и поглядеть что будит
Усё ужО путём,не надо ничо отбирать.Просто с этим файлО,из-за косяка с GPT,надо юзать старые хайды,Ольку прятать утилей Рема.В фантомке чеки drx&custom.
//Чеки Адвансед ужО сливал.

У мну ентО гавно,после фиксов RSI (ExeCryptor_Dumper),лЁтает под Олюшкой,ещё и смски отправляет...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

я тя удивлю)))

Bronco пишет:
из-за косяка с GPT

там не хучится эта функа)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Две Ольки сразу,под фантомом действительно лучше не юзать.
Дроф после этого вообще не грузиться.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Две Ольки сразу,под фантомом действительно лучше не юзать.
Дроф после этого вообще не грузиться.

мда ты извращенец)))) лана посмотрим что там сделать мона...
Арч никак до компа не доберётся (это мну отмазался типо)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Как ни крути,а минимум три сборки вышло.
В двух однозначно без фантома,даже в очередь не становись.
Ща настроил отдельно под криптор:
www.sendspace.com/file/952k0e
мож кого от мук избавлю,заодно потестят,и поправят,если чо не так.
С приватными сплойтами у мну нет,из того что есть всё летает..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn, ты когда уже свой OLLYDBG.EXE народу подаришь?

| Сообщение посчитали полезным:

Bronco пишет:
мож кого от мук избавлю,заодно потестят,и поправят,если чо не так

Прекрасно работает. Молодец!!!

| Сообщение посчитали полезным:

Bronco пишет:
мож кого от мук избавлю,заодно потестят,и поправят,если чо не так
Попробовал запустить Грандсмету (на ней экзекриптор) на твоей сборке. Не запускается:
...
PhantOm plugin 1.15 final
by Hellsp@wn & Archer
ODbgScript v1.65.1
odbgscript.sf.net

>> Status: Exceptions handler patched
New process with ID 00000540 created
Main thread with ID 0000063C created
>> Status: KiUserExceptionDispatcher hooked
>> Status: ZwContinue hooked
Module C:\Program Files\Grand\Gsmeta303i.exe
Module C:\WINDOWS\system32\user32.dll
Module C:\WINDOWS\system32\GDI32.dll
Module C:\WINDOWS\system32\kernel32.dll
Module C:\WINDOWS\system32\ntdll.dll
System startup breakpoint
IsDebugPresent hidden
Remove-RtlNtGlobalFlags
Remove-ForceFlags
INT3 command at Gsmeta30.00DD5FB7
INT3 command at Gsmeta30.00DDB0D7
INT3 command at Gsmeta30.00DD4D0A
INT3 command at Gsmeta30.00DD906F
INT3 command at Gsmeta30.00DD5FB7
INT3 command at Gsmeta30.00DDB0D7
INT3 command at Gsmeta30.00DD4D0A
INT3 command at Gsmeta30.00DD906F
Access violation when reading [FFFFFFFF]
Process terminated, exit code FFFFFFFF (-1.)

Хотя под моей сборкой, основанной на Shadow+PhantOm эта прога запускается нормально.

| Сообщение посчитали полезным:

AlexVel
Попробуй заныкать Ольгу,утилей Рема(HideToolz.exe),либо сдампи ГС, утилей RSI(\Tools\ExeCryptor_Dumper beta2).
Там должно сабжи загружать на systemбряк,ф9,стоим на ЕР.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
сдампи ГС, утилей RSI(\Tools\ExeCryptor_Dumper beta2).
Там должно сабжи загружать на systemбряк,ф9,стоим на ЕР.
Сдампил ExeCryptor_Dumper beta2:
Старт процесса... Успешно
Поиск функции распаковки секций криптора... Успешно
Установка бряка на функцию... Успешно
Распаковка секции ".text" - Завершено
Распаковка секции ".itext" - Завершено
Распаковка секции "4qrog0cj" - Завершено
Распаковка секции "mlpwsd9o" - Завершено
Распаковка секции "dyw2njkd" - Завершено
Распаковка секции "kzh4kkie" - Завершено
Ставим мемори бряк на запись в секцию... Успешно
Ищем проверку CRC... Успешно
Сохраняем Дамп... Успешно
Поиск адреса GetModuleHandleA... Успешно
Поиск сигнатуры правки 0xC3... Успешно
Завершение процесса... Успешно

Адресс GetModuleHandleA: 65A03A
Поиск указателя на GetModuleHandleA... Не найден

Проверка TLS... Надо фиксить
Адресс Новой TLS: 3FC000
Правка TLS... Успешно

Дамп: C:\Program Files\Grand\Gsmeta303_dump.exe

При запуске Gsmeta303_dump.exe возникает сообщение:
---------------------------
Ошибка
---------------------------
[305] Debugger detected - please disable it and restart the application.

ЗЫ: для меня не является целью получить рабочий дамп или отладка проги в твоей сборке.
я просто сообщил, что на этой проге твоя сборка не срабатывает.

| Сообщение посчитали полезным:

AlexVel
Мну не критично
На чом то лЁтает,и хорошо
Смету вряд ли качать буду(даже если она и есть в сети).
Если не приватно,скинь инишку от своей Ольки.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Да в принципе обычная Shadow (хотя может что-то и правил в ней) с Phantom 0.53 со всеми выставленными галками, кроме fake Windows version. Olly Advanced не использую. Бряк на EP убиваю вручную.
Инишку приаттачил

cc9f_27.09.2007_CRACKLAB.rU.tgz - shadows.rar

| Сообщение посчитали полезным:

AlexVel пишет:
обычная Shadow
У тя только Смета летает,или все проги,накрытые криптором?
Попробуй(если интересно) на своей, PrevedSMS к примеру погонять.
//0.53 у мну даже не было,поэтому что там в драйвер вынесено было не знаю.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

AlexVel
Фиг знает,аналогичная ситуация или нет,но на одной гадюке,тож было завершение процесса.
Бряк прибил,ф9 и всё окей...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Фиг знает,аналогичная ситуация или нет,но на одной гадюке,тож было завершение процесса.
Если прибивать бряки, то на твоей сборке проходит чуть дальше.
Уже нет такого в конце лога:
Access violation when reading [FFFFFFFF]
Process terminated, exit code FFFFFFFF (-1.)
Но тогда стабильно окончание лога следующее:
Куча сообщений INT3 command at Gsmeta30.00DD45F7
00DD557D INT3 command at Gsmeta30.00DD557D
7C90EB74 Exception C0000008 (INVALID HANDLE)
00DD5FB7 INT3 command at Gsmeta30.00DD5FB7
00DDB0D7 INT3 command at Gsmeta30.00DDB0D7
00DD4D0A INT3 command at Gsmeta30.00DD4D0A
00DD906F INT3 command at Gsmeta30.00DD906F
77DC0000 Module C:\WINDOWS\system32\advapi32.dll
77E70000 Module C:\WINDOWS\system32\RPCRT4.dll
7C810856 New thread with ID 0000052C created
77110000 Module C:\WINDOWS\system32\oleaut32.dll
77C00000 Module C:\WINDOWS\system32\msvcrt.dll
774D0000 Module C:\WINDOWS\system32\ole32.dll
77BF0000 Module C:\WINDOWS\system32\version.dll
773C0000 Module C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1 df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
77F60000 Module C:\WINDOWS\system32\SHLWAPI.dll
7C9C0000 Module C:\WINDOWS\system32\shell32.dll
72FC0000 Module C:\WINDOWS\system32\winspool.drv
76380000 Module C:\WINDOWS\system32\comdlg32.dll
74C40000 Module C:\WINDOWS\system32\oleacc.dll
76050000 Module C:\WINDOWS\system32\MSVCP60.dll
76B20000 Module C:\WINDOWS\system32\winmm.dll
71AB0000 Module C:\WINDOWS\system32\wsock32.dll
71A90000 Module C:\WINDOWS\system32\WS2_32.dll
71A80000 Module C:\WINDOWS\system32\WS2HELP.dll
Thread 0000052C terminated, exit code 0
76350000 Module C:\WINDOWS\system32\msimg32.dll
Process terminated, exit code 0
Если прячем Olly_start c использованием HideToolz начинается еще интереснее...
Проходим еще дальше (2 различных ситуации):
1. лог предыдущий... затем Очень большое кол-во Access violation when executing [00000000]
и в конце-концов:
Access violation when executing [00000000]
7C9378AE Stack overflow
Access violation when executing [00000000]
Access violation when executing [00000000]
Access violation when executing [00000000]
Access violation when executing [00000000]
Access violation when executing [00000000]
Access violation when executing [00000000]
Access violation when executing [00000000]
Access violation when executing [00000000]
Access violation when executing [00000000]
Debugged program was unable to process exception
2. лог предыдущий, затем впадает в бесконечный цикл с INT3 и созданием/удалением тридов

PS: могу экзешник выложить. Около 3-х мегов. Внешних Dll не тянет

| Сообщение посчитали полезным:

AlexVel
заливай, только на сендспейс
www.sendspace.com/
Не факт,но мне кажется конфликт версий фантома.Двойные хуки и т.п.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
www.sendspace.com/file/0lbt8j или
rapidshare.com/files/58568875/G3.rar.html
Пароль на архив: AlexVel
Вроде никаких доп. библиотек не нужно.
Весит примерно 3,2 мега
Прога работает с эл. ключем, поэтому критерием нормального запуска может служить сообщение:
---------------------------
Ошибка инициализации
---------------------------
Электронный ключ Guardant Stealth не обнаружен.

Ну или будет ругаться на неустановленные драйвера для эл. ключа

| Сообщение посчитали полезным:

AlexVel
Ну у меня явно, без эмуля ключа сабжик не увижу,хотя мессага вредная есть.
Но она идёт позже чем ОЕР.Самих спёртых дохрена,разгребать вроде надо.
00A22253 8BDD MOV EBX,EBP
00A22255 5D POP EBP
00A22256 8D05 84E89F00 LEA EAX,DWORD PTR DS:[9FE884]
00A2225C - E9 C8BCE0FF JMP Gsmeta30.0082DF29
00A22261 2B05 05014000 SUB EAX,DWORD PTR DS:[400105]<---сюдой железный бряк
00A22267 C1C0 19 ROL EAX,19
00A2226A 81C0 0280E69B ADD EAX,9BE68002
00A22270 E8 CB529EFF CALL Gsmeta30.00407540<---GetModuleHandleA
-----
Так что всЁ путЁм.То у тя явно конфликт дровин от разных версий фантома.
В аттаче инишка от моей ольги,замени в сборке и попробуй.хайди тулзой,грузи в ольку,ф9,бей бряк,ставь "железяку",ф9...


3579_04.10.2007_CRACKLAB.rU.tgz - Ollydbg.ini

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Поделитесь сокравенным знанием, можно ли в фантомке как нить поменять название драйвера на рандомное, что бы екзекриптор отдыхал?

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

В фантоме две дровины,да и вроде криптор пока отдыхает.
Для хайда попробуй утилю Рема.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Maximus
С названием драйвера чо-нить обязательно сделаем, не бояццо. Можно поиграццо и менять, пока говнопрот не станет на 5 метроф больше весить из-за списка названий :-D но всё же сделаем сразу как надо, наверно.

| Сообщение посчитали полезным:

Bronco а на что навешивать хайд, на какую папку? Или надо на ольку повесить?

У меня когда фантом в памяти дает [23] - Debug Detection
Хотя kam HideToolz отлично прикрывает

Может просто легче все таки переименовать дровину?

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным: