вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Из RtlGetVersion:

MOV EAX,DWORD PTR FS:[18]
MOV EDI,DWORD PTR DS:[EAX+30]
<мусор>
MOV EAX,DWORD PTR DS:[EDI+1F4]

После этого в eax адрес строки в UNICODE.

| Сообщение посчитали полезным:

Hellspawn пишет:
3) константу + счётчик
вполне нормально, или нет?

| Сообщение посчитали полезным:

Hellspawn пишет:
3) константу + счётчик
Лучше так.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

просили без тупых вопросов, но всеж, чем он лучше\хуже, например HideToolz. От SDProtectorPro116 спрятать олю не смог, HideToolz - спрятал.

| Сообщение посчитали полезным:

UsAr пишет:
вполне нормально, или нет?

в том то и дело, что нет...
какой размер счётчика то установить? вызовем rdtsc 2 подрят и чего? попалят нас...
лана прикрутимс

gegter пишет:
От SDProtectorPro116

посмотрю..

писал я плаг для себя (приват), ну если не надо не юзай, или ты не видел что
возможности то разные? не заставляю никого пользоваться..

зы. не понял к чему вопрос вообще

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
какой размер счётчика то установить? вызовем rdtsc 2 подрят и чего? попалят нас...
посмотри как в оллиадванцед.. там или 0 или +1-счетчик

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
посмотри как в оллиадванцед.. там или 0 или +1-счетчик
0 - не подходит, т.к. вызовы через несколько команд засекут перехват
+const - замеряем задержки между сильно различающимися по времени выполнении участками кода, видим что разницы нету.

Далеко от идеала..

| Сообщение посчитали полезным:

А можно как-нибудь сделать, чтобы увеличивалось на половину разницы между оригинальными значениями rdtsc?
Например чтобы если первый раз rdtsc возвратит A, а второй раз B, то плагин подменет вместо второго раза A+(B-A)/2

| Сообщение посчитали полезным:

посмотрел я SDProtector 1.16, всё норм, тока надо отключить "защиту Drx" и "левую версию винды"..
разобрался только с Drx, походу прот самотрассируется?

Exception at : 00474687 Handler : 00474720 Dr0=004746CB Dr1=004746B6 Dr2=0047469D Dr3=00474687 Dr6=FFFF0FF8 Dr7=00000555
Exception at : 0047469D Handler : 00474720 Dr0=004746CB Dr1=004746B6 Dr2=0047469D Dr3=00474687 Dr6=FFFF0FF4 Dr7=00000555
Exception at : 004746B6 Handler : 00474720 Dr0=004746CB Dr1=004746B6 Dr2=0047469D Dr3=00474687 Dr6=FFFF0FF2 Dr7=00000555

хм, а почему мне не сообщили)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

UsAr пишет:
А можно как-нибудь сделать, чтобы увеличивалось на половину разницы между оригинальными значениями rdtsc?
Например чтобы если первый раз rdtsc возвратит A, а второй раз B, то плагин подменет вместо второго раза A+(B-A)/2

через плагин не получиться - это раз, ток через драйвер!
второе, это ловить обращения только от отлаживаемого процесса! + там с процессорами лажа, ну если Archer
согласиться) по поводу драйвера - это к нему!

з.ы. после системного бряка, винда перезатирает некоторые мои издевательства над PEB'ом
придётся извращаться...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет: и "левую версию винды".. что это?
Hellspawn пишет: надо отключить "защиту Drx", тогда оля виснет при подгрузке rpcrt4.dll
0051892F 66:8B48 0E MOV CX,WORD PTR DS:[EAX+E] <-- здесь
00518933 66:8B50 06 MOV DX,WORD PTR DS:[EAX+6]
00518937 66:8B58 1E MOV BX,WORD PTR DS:[EAX+1E]
0051893B 83C4 08 ADD ESP,8
Если отключить еще hide from PEB, то не виснет, но процесс terminated

| Сообщение посчитали полезным:

Вижу, пошли пожелания насчёт rdtsc. Тут нужно хукать прерывания, для этого надо учитывать, что процессоров может быть больше одного. Драйвер, который используется, уже написан на тасме. Первый драйвер, который используется в OllyAdvanced и увеличивает после каждого вызова rdtsc на 1-тоже мой драйвер, но он написан на С, ибо на асме хукать несколько процессоров геморно. Отсюда вывод, если хотите rdtsc, либо дайте мне код на асме (на С я юзаю некоторые макросы, которые надо думать, как переписать на асме), либо для этого будет второй драйвер. А насчёт алгоритма, что там мутить в rdtsc, добавлять константу или что, дык теоретически можно мутить всё подряд. Если какой-то способ больше всего понравится, тот могу и сделать. Но, имхо, смысла особого нет, поскольку есть способ обнаружить это дело без многократного замера, а гораздо проще.

| Сообщение посчитали полезным:

Archer пишет:
есть способ обнаружить это дело без многократного замера, а гораздо проще.
Имеешь ввиду из 3 кольца? Можно поподробнее?)

| Сообщение посчитали полезным:

gegter
у мну ничё не виснет, и всё воркает как надо... хз чё там у тебя читай мои ранние рекомендации!
тока что запаковал со всеми опциями)))

з.ы. напиши лучше

HoBleen

сначала с GetTickCount разберёмся

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
ИМХО, да все те же антихуки в GetTickCount и в rdtsc..

| Сообщение посчитали полезным:

Подумал я насчёт вариантов реализации rdtsc, чтоб не константа. Наиболее реальными мне показались 2 метода:
1. Получает реальное значение и делит его на большое число (сам выберу методом тыка ). Хорошо, что более-менее реально. Плохо, что если уснёте, пуская слюни на клаву, момент будет упущен.
2. Прибавляет каждый раз рандомное число (0-255), ну хорошо, ПСЕВДОрандомное. Следует учитывать, что работает это глобально, поэтому если участок выполняется долго, то другая программа тоже может вызвать rdtsc=>тоже прибавление, это плюс. Минус в том, что всё же это не реальное значение.
HoBleen
Читал я, что можно 1 способом это отловить из 3 кольца, правда, для винды 9х. Сам не пробовал, честно говоря. Говорить не буду, не хочу плодить писателей говнопротов.

| Сообщение посчитали полезным:

Archer пишет:
Читал я, что можно 1 способом это отловить из 3 кольца, правда, для винды 9х.
Не универсально, не катит - на NT вообще смысла не имеет. Много ли крякеров работает под 9х? Сомневаюсь.

| Сообщение посчитали полезным:

PhantOm plugin 0.55

[url=http://hellspawn.nm.ru/works/PhantOm.plugin.0.55.zip
]http://hellspawn.nm.ru/works/PhantOm.plugin.0.55.zip
[/url]

пробуем, смотрим... просьба оттестить фичи: GetTickCount и RDTSC!

Что нового - 0.55
[*] Улучшена эмуляция GetTickCount.
[*] Добавлена эмуляция RDTSC.
[*] исправлен баг с не обнулением ServicePack.
[*] Немного оптимизирован код.

работа над плагом пока заморожена, копаю прогу с говнопротом...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

/// уже есть, а выдавало "This file not found"

| Сообщение посчитали полезным:

gegter
Всё норм грузиццо.

| Сообщение посчитали полезным:

gegter пишет:
нет такого файла на серваке
все есть

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
все есть

файло действительно есть, только качается с нескольких попыток

А вообще, подскажите, в каком комплекте ольки, нужно тестить этот плуг, а то уже все варианты перепробовал, палит, и все тут (гавнопрот 2.3.9)

| Сообщение посчитали полезным:

знаю точно, что 2.2.4 не палит со всеми опциями... а вот остальные как-то странно, раз через раз...
приложи прогу, может покопаю

а вообще оля должна быть патченная и желательно аналогичные опциив жругих плагах отключить,
т.к. плаг хучит более скрытно

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
приложи прогу, может покопаю

это сам гавнопрот 2.3.9

| Сообщение посчитали полезным:

Hellspawn пишет:
пробуем, смотрим... просьба оттестить фичи: GetTickCount и RDTSC!
П0тестил, вр0де раб0тает! Респект!

| Сообщение посчитали полезным:

Открывать плаг процесс не даёт, основная антиотладка похукана. Говнопрот палит скорее всего по окошкам и классам окошек, это дело в ольке неприкрыто (как вариант-в связке с HideToolz не должно палиццо). А если какая прога жить совсем не даёт, выложите, задрючим говнопрот.

| Сообщение посчитали полезным:

BoOMBoX/TSRh пишет:
это сам гавнопрот 2.3.9

короче запустил я это "чудо" под ольгой... (только пропатчить пришлось)
он палит не конкретно отладчик, а отладку как таковую...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Archer пишет:
в связке с HideToolz не должно палиццо

Да и в этой связке и в перепробованной туевой хучей вариантов, палиццо

Hellspawn пишет:
он палит не конкретно отладчик, а отладку как таковую...

у меня он палит, похоже, все-таки сам отладчик:

Log data
Address Message
007625FE INT3 command at ГАВНОПРОТ.007625FE
007637D0 Exception C000001E (INVALID LOCK SEQUENCE)
00767555 INT3 command at ГАВНОПРОТ.00767555
----------------поскипано------------------------------------------
>> Status: Double exception passed
>> Status: Double exception passed
007625FE INT3 command at ГАВНОПРОТ.007625FE
Thread 00000174 terminated, exit code FFFFFFFF (-1.)
Thread 00000BDC terminated, exit code FFFFFFFF (-1.)
007637D0 Exception C000001E (INVALID LOCK SEQUENCE)
0076A9AF Exception C000001E (INVALID LOCK SEQUENCE)
Process terminated, exit code FFFFFFFF (-1.)

| Сообщение посчитали полезным:

попробуй новую версию плага! я отключил кое-что в ней...

BoOMBoX/TSRh пишет:
>> Status: Double exception passed

как раз таки отладку! у ольки бывают косяки с обработкой исключений...
вот мой плаг пытается поправить.. но не всегда это гууд...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Новая версия не помогла

И еще, при включении опции Fake Windows Version - ошибка cannot load oleaut32.dll.


P.S.

Win XP SP2

| Сообщение посчитали полезным: