вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Последняя версия фантомки,получше будет.,чем пропатченная,мну её для криптора хватает..
------
Терь по своим баранам.
Немного разобрался почему Олька зависает,надо просто повнимательней быть.
Перед прыжком на кусок кода с циклом,идёт вызов,на инструкцию,которая смещает адрес возврата в стеке:
call offset
offset:
ADD [ESP],9
jmp XXXXXXXX
------------
Ещё один прикол,только чуть дальше.
В ebp,лежит адрес стека,по этому адресу зеро,в esi тоже зеро,и нужно выполнить такой код:
mov edx,[ebp-4]
add edx,edx
add edx,edx
add edx,esi
mov edx,[edx]<<---тут тоже зависаем.
//Тупо нопим левак,и забираем родные данные.
//По импорту тож есть такие ловушки,но пока все не нашёл.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn пишет:
ссылка ниже...

А где же ссылка???

| Сообщение посчитали полезным:

vnekrilov
А где же ссылка???
ты на дату поста смотрел...?

| Сообщение посчитали полезным:

Bronco

хм, а почему собственно ольга то косячит?

s0cpy пишет:
ты на дату поста смотрел...?

это всё путаницца с шабками))) млин сам никак не привыкну...
на днях будет релиз) когда, наконец, решу 1 проблему, как похучить NtRaiseException
чтоб олько не ловилось на

0001ADD2 6A 00 PUSH 0
0001ADD4 6A 00 PUSH 0
0001ADD6 6A 00 PUSH 0
0001ADD8 68 06000140 PUSH 40010006
0001ADDD E8 36A0FFFF CALL <JMP.&kernel32.RaiseException>



-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
это всё путаницца с шабками)))
[oFF]
хмм...
может стоит как-то отделить от остальных постов...?
[oFF]

| Сообщение посчитали полезным:

Hellspawn
[/edit]
Она не успевает сообщить об ошибках,а тупо виснет
Похоже что юзается, что-то типа Stack Overflow.
Возможно у гада,свой обработчик эксепшенов,потому что генерит он их дохрена.
Но реверсить можно,всё доступно,правда... не спеша.
Вот только проблему с гигабайтником мусура осталось решить.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn
У тя плагин,просто находка для "шпиона"...
Бу-го-го....Наказал я всё таки этого гавнюка.
Лётает,как дешёвая шлюха,Олька работает как часики.
На днях будем ждать с нетерпением,нового релиза плага..
Фантом жив,фантом будет жить,фантом живее всех живых...
Ура!!Товарищи!!!

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn
А обработку такого

MOV ESI,1
DEC ESI
DIV ESI

можно добавить в
- custom handler exceptions ????

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

деление? можно... Записал в туду

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Гуд!!!!
-----------
Дни идут.Вечность оказалась бесконечной...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Да Арчи с дровом затягивал)) вот я получил наконец поправленный релизный дроф))
Релиз почти готов, но я так и не придумал что делать с RaiseException - точнее способы есть,
но мну не нра они)

если у ольги вообще отобрать евент - дебаг стринг, тогда лажа получается, функа вовзращает 0...
бррр...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

с дебаг стрингом - гавнаметод, очень ненадёжный и падает на w2003, не думаю что он где то активно юзаеццо

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

всё, запатчил сучку... последнии штрихи остались...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Фиг его знает как это творить,но по рукам бы давать за такое:
SUB EAX,EAX
MOV [EAX],56AF
Может у мну Олька неправильно код анализирует???

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Лана мну зарелизит так некогда с гуи возится и выносить 2 эдита на окошко настроек...
Позже сделаю

PhantOm plugin 1.20

Что нового - 1.20
[*] Добавлена собственная обработка исключений (C0000005).
[*] Добавлена опция смены заголовка главного окна.
[*] Добавлена собственная обработка исключений (OUTPUT_DEBUG_STRING_EVENT).
[*] int 3 на EP корректно удаляется, если включена остановка
на системной точке останова.
[*] Добавлен перехват BlockInput. (только WinXP)
[*] Добавлена собственная обработка исключений (C0000094).
[*] Добавлено скрытие от GetStartupInfo.
[*] Исправлен баг с настройками плагина.
[*] Добавлена защита от обнаружения драйверов.

сам плаг + видео по обходу детекта в Themida 1.9.3.0 и PeP 2.x

hellspawn.nm.ru/works/PhantOm.plugin.1.20.zip
hellspawn.nm.ru/works/bypass.zip

з.ы. всё как всегда

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Thanks .

| Сообщение посчитали полезным:

А обновленный EDD будет?

| Сообщение посчитали полезным:

I put to :_http://bbs.pediy.com/showthread.php?t=55099

| Сообщение посчитали полезным:

tempread пишет:
А обновленный EDD будет?

Да, позже... Пока кодил EDD, обнаружил ещё пару косяков, которые пока не могу запатчить)))
Способ валит почти все ринг3 отладчики, кроче ольги 2.0

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

В Фантомке включена только одна опция: change Olly caption.
Запускаем к примеру, regedit.
Caption окошка Ольи начинает мерцать,почти что видно невооруженным глазом,как он все время перерисовывается. Если открыть какое либо меню в Оле, либо поставить на паузу выполнение программы,мерцание прекращается. Так и должно быть?

| Сообщение посчитали полезным:

Hellspawn продай их релайеру, а потом запатч

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

ууу какой у тебя комп слабый вообще мерцания быть не должно, лана добавлю проверку...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Athlon XP 2200+
частота обновления ЭЛТ монитора 75 Hz - не в этом ли дело ?

| Сообщение посчитали полезным:

tempread пишет:
частота обновления ЭЛТ монитора 75 Hz - не в этом ли дело ?

нет скачай ещё раз по той же ссылки, я добавил проверку

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Скачал,поставил,проверил - проблема пропала,ничего не мигает

| Сообщение посчитали полезным:

Фух...а дельту по дефолту, не крутО ли загнули?
Мну для местного шаманства,хватало 1100-1300,в инишке вбить..
пепА в мультиках старенький,а рандом это жесть.,ну типа высокий полЁт...
Хоть в ПМ скиньте,как дровину найти...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Опция "hook GetProcessTimes" засерена и неактивна. Так и задумано?

| Сообщение посчитали полезным:

tempread
Засерена-это сильно Так и должно быть, на всякий случай

| Сообщение посчитали полезным:

Не знаю,как было в других версиях... Но сейчас кнопка закрытия окна опций работает так же, как и кнопка "Save", а хотелось бы, что бы ee смысл был как "отмена".

| Сообщение посчитали полезным:

нет, отмены не будет, она такая же как сайв... Из-за того что это была отмена, многие жаловались
на глюки в настройках, возможно сделаю кнопку "канцел" если так нада))

[Bronco пишет:
Фух...а дельту по дефолту, не крутО ли загнули?

нет не много вроде самое оптимальное значение или у тя проц более 2.3?
а вообще в EDD есть тест для этого, погоняй его раз 10, выбери среднее значение
и на него ровняйся

tempread пишет:
Опция "hook GetProcessTimes" засерена и неактивна. Так и задумано?

так нада)

Bronco пишет:
пепА в мультиках старенький,а рандом это жесть.,ну типа высокий полЁт...
Хоть в ПМ скиньте,как дровину найти...

дайте новенький)
а хз как, я не искал

-----
[nice coder and reverser]

| Сообщение посчитали полезным: