 |
eXeL@B —› Софт, инструменты —› PhantOm plugin |
| << 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 22 января 2007 01:43 · Поправил: Модератор · Личное сообщение · #1 вот наконец выкладываю на паблик. плагин для скрытия OllyDbg, чтим ридми там всё написано. з.ы. тупых вопросов типо зачем ещё 1 - не задаём!  этот плаг может больше, чем другие 
----- [nice coder and reverser]  |
|
|
Создано: 06 января 2009 21:33 · Поправил: Hellspawn · Личное сообщение · #2 ARCHANGEL тока что проверил всё норм или ты не правильно объясняешь.
Code:
ARCHANGEL пишет: GetThreadContext с хэндлом -1h, не -1, а тогда уже -2. а вообще там и будут нолики, если ты ничего не ставил или прога ;) ----- [nice coder and reverser] |
|
|
Создано: 06 января 2009 21:36 · Личное сообщение · #3 Hellspawn Да, сорри, -2. Потоки уже с процессами путаю . Нули там будут, но проблема в том, что у меня хрен его знает почему при CONTEXT_FULL везде тоже нули. Прямо не GetThreadContext, а RtlZeroMemory
----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 06 января 2009 21:40 · Поправил: Hellspawn · Личное сообщение · #4 это из-за твоей невнимательности: Code:
CONTEXT_DEBUG_REGISTERS тут и в помине нету ;) з.ы. пиши в личку, если ещё вопросы есть. ----- [nice coder and reverser] |
|
|
Создано: 06 января 2009 21:44 · Личное сообщение · #5 Hellspawn Но почему у меня CONTEXT_INTEGER весь в нулях? ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 07 января 2009 05:08 · Поправил: ClockMan · Личное сообщение · #6 Ставя бряк на секцию code в kernel32.dll или ntdll.dll программа либо выдаёт ошибку или терминатится причина обработчик иссключенийcustom handler exseptions ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 07 января 2009 11:21 · Личное сообщение · #7 Hellspawn пишет: пофиксил. В шапке уже пофикшеный? |
|
|
Создано: 07 января 2009 11:55 · Личное сообщение · #8 В шапке последний выложенный. Если после надписи "пофиксил" не выложено-значит, в шапке старый. Потому что шапку правлю я на основе постов, причём править уже задолбался. |
|
|
Создано: 07 января 2009 16:14 · Поправил: Модератор · Личное сообщение · #9 dermatolog пишет: Ну посадите вы уже нормального прогера на дров ) не нада тут ла-ла, новый кодер отличный а зависть плохое чувство.
Что нового - 1.54 [*] Исправлен баг с memory breakpoints. [*] Исправлен баг с "custom handler exceptions". [*] Добавлен универсальный патч бага с импортом. phantom.plugin.1.54 http://securityblog.ws/work/phantom.plugin.1.54.zip dermatolog пишет: Было бы еще чему завидовать ) думаю есть чему, иначе бы не флудил здесь ;) dermatolog пишет: У вас похоже какое-то извращенное понятие о зависти. ну раз так, проходи мимо. Archer: линк опять обновил ----- [nice coder and reverser] |
|
|
Создано: 07 января 2009 16:59 · Личное сообщение · #10 Баг всё ещё остался Если по F2 ставить бряк на секцию кода импортируемых бибблиотек то прогоамма всёравно падает(иссключение 80000001)
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 07 января 2009 17:02 · Поправил: Hellspawn · Личное сообщение · #11 ClockMan пишет: Баг всё ещё остался Если по F2 ставить бряк на секцию кода импортируемых бибблиотек то прогоамма всёравно падает(иссключение 80000001) читай топ внимательнее, о бряках по F2 пока можно забыть, иначе не обработаем PAGE_GUARD. ----- [nice coder and reverser] |
|
|
Создано: 07 января 2009 21:06 · Личное сообщение · #12 Хех...прикольно...., бочина->быстрый патч->новый билд. Всегда бы так. 
Вопрос к авторам, плуг может перекрыть антидебаг SecuROM 7.х.х??? ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 07 января 2009 21:08 · Поправил: Hellspawn · Личное сообщение · #13 Bronco я уже не помню, в чём там весь антидебаг то самотрассировка вроде, а что ещё?
----- [nice coder and reverser] |
|
|
Создано: 08 января 2009 10:02 · Личное сообщение · #14 Почистил топик от всякой фигни. Думал, сами успокоетесь-никак, пришлось почистить. Конкретно к dermatolog: не волнуйтесь вы так, всё будет, и отладка будет, и декомпиль для вашего прота, потерпите чуть-чуть и больше не засоряйте топик. |
|
|
Создано: 08 января 2009 23:16 · Личное сообщение · #15 Hellspawn, Archer Можете в интерфейс плагина добавить сохранение профилей? То есть чтобы например если скрывать ниче не надо - 1 профиль, если Темида - другой и т.д. И еще чтобы это окно появлялось при старте Olly. ----- Лень - это подсознательная мудрость |
|
|
Создано: 08 января 2009 23:19 · Личное сообщение · #16 depler +1 ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 08 января 2009 23:41 · Поправил: depler · Личное сообщение · #17 Нашел злостный баг, даже несколько (проверял у себя и на виртуалке пустой). В аттаче два файла конфигурации олли (только олли и фантом, остальные конфиги не имеют значения плагинов не было когда тестил). В первом конфиге изменены значения со стандартных на: HIDENAME=n251ud RDTSCNAME=2syt1s CAPTEXT=calc PRETEXT=notepad Если в фантоме снять все галки из отдела -[Drivers]-, то при загрузке exe и нажатии CTRL+F2 olly падает с ошибками. Если драйвер включить - то никаких проблем, скрытие работает. Второй файл конфига - стандартный, при этом все бы ничего но драйвер у мня не грузится ни при каких настройках. В логе: File 'C:\games\Core Temp.exe' >> Hide Driver loading >> driver name = extrem >> driver symlink = \.\extrem >> driver description = extrem >> Status: Driver not loaded (code = -3) >> RDTSC Driver loading >> Random RDTSC driver name = rdtsc.sys >> Random RDTSC driver symlink = \.\rdtsc >> Random RDTSC driver description = rdtsc >> Delta RDTSC = 00008800 >> Status: RDTSC not hooked (code = -3) У мня стоит XP PRO SP3 + заплатки критические, на виртуалке - тоже без заплаток. Core2Duo E8400, 2Гб Кстати нашел пару "странностей" в работе плагина под вистой, но об этом позже... ----- Лень - это подсознательная мудрость |
|
|
Создано: 08 января 2009 23:48 · Личное сообщение · #18 НЕ цепляется блин...  198f_08.01.2009_CRACKLAB.rU.tgz - ollydbg.rar
----- Лень - это подсознательная мудрость |
|
|
Создано: 09 января 2009 03:29 · Личное сообщение · #19 depler Мля..не тупи ( без обид), какие нах профиля, там всего 14 чекбоксов. Ставь по дефолту - hide from PEB - protect DRx остальные по необходимости. С дровами фиг знает, попробуй их утилей Зайца, повыгружать/покилять. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 09 января 2009 03:35 · Личное сообщение · #20 depler, по поводу второго: открываешь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services и убиваешь ветки по названиям дров. |
|
|
Создано: 09 января 2009 14:19 · Поправил: Hellspawn · Личное сообщение · #21 depler виста не поддерживается, т.к. я это говно юзаю только на ноуте и то только потому, что там лицензия). инишки посмотрел на варе, повторить не удалось, хотя я кое-что уже правил в плаге. если дроф не грузиться с кодом -3, то нада попробовать удалить сервисы в реестре (если конечно они там есть). а вообще после ребута всё будет норм. (такое обычно происходит, если несколько раз за 1 сессию переименовывать службу дрова или если ольга аварийно завершилась) ----- [nice coder and reverser] |
|
|
Создано: 09 января 2009 19:02 · Поправил: linhanshi · Личное сообщение · #22 Hellspawn Support . |
|
|
Создано: 12 января 2009 08:24 · Личное сообщение · #23 объясните глупому этот плагин под виндой x64 работает или нет? естественно пытаюсь отлаживать x86 процесс |
|
|
Создано: 12 января 2009 09:22 · Личное сообщение · #24 Bronco пишет: Вопрос к авторам, плуг может перекрыть антидебаг SecuROM 7.х.х??? Начиная с версии 1.47 перекрывает (раньше StrongOD спасал) Вот только ХВ бряки на память работают как попало (не изза плуга). Если поставить protect DRx - палиццо  Можно ли с этим что нибудь сделать (хотя б чтоб перезапуска проги не требовало на эту опцию) ?
|
|
|
Создано: 12 января 2009 10:23 · Личное сообщение · #25 Zorn Походу это частный случай, но --> решение <-- задачи оказалось банальным.... 
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 12 января 2009 11:15 · Поправил: Zorn · Личное сообщение · #26 Bronco пишет: но --> решение <-- задачи оказалось банальным.... Я тож сначала так делал (тока EBEF в paul.dll на ЕП засовывал), пока StrongOD не попробовал 
|
|
|
Создано: 12 января 2009 15:07 · Личное сообщение · #27 Zorn пишет: Если поставить protect DRx - палиццо Можно ли с этим что нибудь сделать (хотя б чтоб перезапуска проги не требовало на эту опцию) ? не понял ничего, конкретнее
----- [nice coder and reverser] |
|
|
Создано: 12 января 2009 16:24 · Личное сообщение · #28 Hellspawn пишет: не понял ничего, конкретнее Так понял, имеется ввиду обнаружение протом отладчика при выставлении флажка protect DRx. С VMPtrot-ом та же байда. |
|
|
Создано: 12 января 2009 16:28 · Личное сообщение · #29 ну дык это задетектить как 2 пальца потому что подменяется контекст, способов уйма а укрыться от этого пока хз как.
----- [nice coder and reverser] |
|
|
Создано: 12 января 2009 19:32 · Личное сообщение · #30 плагин под виндой x64 не работает, так и должно быть? |
|
|
Создано: 12 января 2009 19:58 · Поправил: Hellspawn · Личное сообщение · #31 какие то опции да не работают когда я просил помочь с win x64 никто не отозвался, значит не особо нужно. тем более есть ещё над чем работать.
----- [nice coder and reverser] |
| << 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . >> |
|
eXeL@B —› Софт, инструменты —› PhantOm plugin |
Для печати