вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

снять галку с эназер бреакс?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Все отлично работает, есть одно пожелание: убрать сообщение "Module 'x' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying. Please keep it in mind when setting breakpoints!" В StrongOD такая фича есть, хотелось бы и здесь.

Added:
Включил все опции, вылезла ошибка:
Log data, item 37 Message= [PhantOm_error] > Unable hook GetTickCount
Система Win 7 SP1 32

| Сообщение посчитали полезным:

PhantOm plugin 1.79

http://www.sendspace.com/file/he5hi1

-----
[nice coder and reverser]

| Сообщение посчитали полезным: Konstantin, -Sanchez-, Jaa, linhanshi, SReg, t0ShA, ClockMan, alexpol, Vovan666, sendersu, antipod, ADMIN-CRACK, _ruzmaz_, Bronco, daFix, MasterSoft, TryAga1n, Gideon Vi, vnekrilov, Abraham, plutos, d0wn, verdizela, Dart Raiden, Carpe DiEm, VerGunSky, neprovad, tihiy_grom, stas_02, sngsprs, WinniePh

Ну бан то будет наконец или как?
От модератора: свершился. пока на 3 дня

| Сообщение посчитали полезным: daFix, verdizela, Dart Raiden, Carpe DiEm

Фантом криво обрабатывает сепшн 8000001 - Это бряки на память. Без фантома тормозим при обращении к этой памяти. С фантом получаем ошибку 8000001 и приложение валится. Хотя исключение должна обработать олька.

| Сообщение посчитали полезным:

Nightshade там есть сложность, ольга никак не сохраняет информацию о бряках по F2 которые вариант только один, делать это за неё, пока некогда, можно поставить memory breakpoint on ...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Уважаемый Hellspawn можно ли как-то отключить вывод одинаковых сообщений в лог если такое сообщение появилось например более 10 раз подряд и имело тот же адрес? Другие исключения интересны а вот одинаковые и идущие подряд как-то игнорировать бы после N срабатываний.
[PhantOm_iNFO] > Pass exception INVALID_HANDLE
[PhantOm_iNFO] > Address: 00E4E4EC Code: 80000003 Name: Breakpoint
[PhantOm_iNFO] > Pass exception INVALID_HANDLE
[PhantOm_iNFO] > Address: 00E4E4EC Code: 80000003 Name: Breakpoint
[PhantOm_iNFO] > Pass exception INVALID_HANDLE
[PhantOm_iNFO] > Address: 00E4E4EC Code: 80000003 Name: Breakpoint
и т.д.

| Сообщение посчитали полезным:

Бряки, которые просто memory очень сильно тормозят выполнение кода. Если без плага олька нормально отрабатывает, значит она знает, что стоит бряк на память(это не вяжется с не сохранением инфы о бряках).

| Сообщение посчитали полезным:

Nightshade она просто подкрашивает блок (alt-m) сразу после установки ему новых атрибутов, инфа не сохраняется, она не знает где бряк, на этом основан метод детекта через guard_page

neprovad думаю проще их либо вообще отлючать либо все видеть, повторяющиеся хз даже.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

PhantOm plugin 1.84 Final

http://rghost.ru/45055554

На этом разработка плага под 1.10 закончена, будут только фиксы. Теперь под вторую ольгу буду делать плаг

-----
[nice coder and reverser]

| Сообщение посчитали полезным: Jaa, Gideon Vi, Nightshade, DimitarSerg, Dart Sergius, sendersu, TryAga1n, Konstantin, MarcElBichon, hlmadip, xDvKx, alexpol, daFix, Bronco, Vnv, BAHEK, Airenikus, zullek, Kindly, neprovad, t0ShA, plutos, Rio, ClockMan, _ruzmaz_, deepred, oooirbis

А драйвер extremehide.sys в архиве должен присутствовать или в Readme устаревшая информация?

| Сообщение посчитали полезным:

bugmenot123
типа по дефолту "you must have it" реально, да, где оно?

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax, bugmenot123
Сейчас плаг работает только в Ring 3, ни каких драйверов не используется

-----
Research For Food

| Сообщение посчитали полезным:

daFix
а в чем замануха? скиллсы дали мутить то же, что и в ринг0? чей-то я cумлеваюсь, разные вещи. от автора бы узнать, раз в ридми ничего

PS: я на ida, просто интересно

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

bugmenot123
Не нужен.

Было же на пред.странице:
Hellspawn пишет:
з.ы. драйвер на данный момент убран, считаю, что он особо не нужен.
После того в ченжлогах не было, что он добавлен, что уже как бы намекает, что искать его не нужно

-----
ds

| Сообщение посчитали полезным:

DimitarSerg
там же было "- пока без драйвера". и strongod и idastealth мутят с дровами для "неких" операций. я только рад буду, если фантом обгонит и перегонит другими методами ждем-с ответа автора

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Что это за говнокод?


b0ec_06.04.2013_EXELAB.rU.tgz - bug.png

| Сообщение посчитали полезным:

Nightshade на ХР мало тестил, в последней правке, убил там хуки по невнимательности.
залил поправленную версию.

PhantOm plugin 1.85 Final

http://rghost.ru/45079145

ajax драйвера нету, т.к. идет заточка под win7 x64/86
в 99% он там не нужен, когда дело идет с пакерами или протами легальными
чтобы наверняка было, достаточно переименновать ollydbg.exe и переименовать классы окон.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: NikolayD, sendersu

Hellspawn пишет:
достаточно переименновать ollydbg.exe
разве можно? в екзешке есть експорт , если переименовать ..... будет много ругани

| Сообщение посчитали полезным:

sendersu пишет:
разве можно
Можно. Существует тысячи сборок, в которых переименованы как экзешники, так и остальные файлы, по которым может состояться наркоманский детект (ollydbg.ini, loaddll.exe и т.д.)
-
Помню был xADT eXtensible Anti Debug Tester от ARTeam, так вот там даже имена ресурсов каждого запущенного приложения проверялись. Я шутки ради создал сборку, которая успешно проходила все тесты

| Сообщение посчитали полезным:

sendersu переименовываешь ехе, а рядом кладешь оригинальный ollydbg.exe. запускаешь переименованный, вуаля

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Нельзя класть рядом оригинальную олю. Будет куча косяков при работе плагов. У меня как то олька вылетала, пока я не удалил оригинал и не перебил импорты
У меня кстати не ХР, а вин 7 х32.

| Сообщение посчитали полезным:

Nightshade, можно, у меня так всегда было и никаких косяков.
в win7 32 все однотипно с xp 32 в плане стаба.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Спроси интега у него тоже были такие косяки.

| Сообщение посчитали полезным:

Nightshade косяки могут быть, только из-за кривого плага, на стандартном наборе все ок.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Да не нужно никаких оригиналов оставлять и накаких косяков с плагинами тоже не будет, если применить фантазию. Я для себя сделал в ДУПе Seek'n'Replace патчер для *.dll, который ищет OllyDbg.exe и меняет 0llyBgd.exe, а так же перебивает имена функций экспорта с ODBG на 0BGD (кстати делалось это как раз для прохождения eXtensible Anti Debug Tester). При обновлении плагинов достаточно один раз запустить патчер и работать себе спокойненько в бесплаевной ольке.

| Сообщение посчитали полезным:

Версия под вторую ольгу уже есть?

| Сообщение посчитали полезным:

neox0r в процессе написания.

TryAga1n патчить не обязательно, у меня и так все работает и все тесты проходит
плюс плаги бывают пакованными (нужно распаковать, пропатчить)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

TryAga1n У меня такой же патчер сделанный в дупе под мою ольку. Для фикса экспорта и импорта можно и не распаковывать. Еще не встречал накрытые плаги, которые бы ругались.

| Сообщение посчитали полезным:

у кого windows 8 куда ведёт call в zw функциях?

скопируйте кусочек кода в нахлест только

-----
[nice coder and reverser]

| Сообщение посчитали полезным: