вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Куда-то сюда:



Область памяти hidden



| Сообщение посчитали полезным: pompas

Airenikus оке, как и в 7-ке. спасибо. позже запилю в плаг.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

sendersu пишет:
разве можно? в екзешке есть експорт , если переименовать ..... будет много ругани

RenameOD

| Сообщение посчитали полезным: sendersu, daFix

Как движется работа над плагином под вторую ольку?

| Сообщение посчитали полезным: deniskore

Hellspawn тоже интересует как скоро выйдет под 2-ю ольку) Если нет времени кинь исходник сами портируем, делов то
Есть вообще какие альтернативы под 2-ю olly?

| Сообщение посчитали полезным:

Лучше под первую допили. Пару дллок падало с плагом. Снес его нахрен.

| Сообщение посчитали полезным:

neox0r пишет:
Есть вообще какие альтернативы под 2-ю olly?
Swordfish и OllyExt

| Сообщение посчитали полезным: neox0r

neox0r кто портирует?) когда до дела доходит все сливаются

Nightshade баг репортов нету, допиливать нечего.

alexpol пока не особо, т.к. не юзаю почти 2-ую ольку.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Шас сессия, но сразу после неё если кинешь код перепилю под 2, не могу я с 1ой работать и со 2ой без скрытия

Jaa спасиб, попробую

| Сообщение посчитали полезным:

Где сурсы качать ?

| Сообщение посчитали полезным:

neox0r пишет:
Шас сессия, но сразу после неё если кинешь код перепилю под 2, не могу я с 1ой работать и со 2ой без скрытия
Кстати как прогресс с этим делом? очередной раз все завяло?

Dr0p пишет:
Где сурсы качать ?
у Hellspawn-а)

| Сообщение посчитали полезным:

deniskore

> у Hellspawn-а)

Приват чтоле

> http://pastebin.com/6kbt1Vka

Это обходит ?

| Сообщение посчитали полезным:

Dr0p первый раз вижу такой способ нужно потестить на XP, 7, 8 (86/64) а то это сферический код в вакууме пока
з.ы. нечего в исходниках всем подряд ковырятьсяю

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Я хотел посмотреть список метод, в частности что за защита отл регистров.

| Сообщение посчитали полезным:

Dr0p в ридми все есть, хук на диспачтер и копирование контекста потока и последующее его восстановление.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

А если прога сама юзает их ?

| Сообщение посчитали полезным:

Dr0p обсид юзает, обламываемся тогда, логично же.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

А такое:




| Сообщение посчитали полезным:

привелегии можно убрать, не проблема.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Так просто не получится убрать, так как их изменять и проверять может отлаживаемый код. Да и устанавливать их нельзя - откроется ThreadBreakOnTermination, он юзается иногда после обнаружения дебага.

| Сообщение посчитали полезным:

Hellspawn

Слил плаг по последней вашей ссылке. Есть вопросы:

[+] SetUnhandledExceptionFilter.
[+] OpenProcess.
[+] NtYieldExecution.
[+] NtSetContextThread.

Как можно использовать для детекта дебага NtYieldExecution ?

Тоесть я знаю что делает сервис и читал аверские доки(http://pferrie.tripod.com/papers/unpackers.pdf), но видать либо авера глючит, либо ось у меня не та

С UEF что, это хэндлер не обработанных фолтов, что с ним делать ?

С процессом тоже не понятно, сново DebugPrivilege ?

Обьясните плз. И что с сурсами, это что какой то мегаприват, смешно ведь. Или быть может вы своего кода стесняетесь..

| Сообщение посчитали полезным:

Dr0p пишет:
[+] OpenProcess.
дебаг привелегии, открытие csrss.

Dr0p пишет:
[+] NtSetContextThread.
HideFromDebugger (0x11)

Dr0p пишет:
[+] SetUnhandledExceptionFilter.
свой обработчик если не исполняется return true, если исполняется return false.

NtYieldexecution ненадежно...

Ваш кэп.

| Сообщение посчитали полезным:

Dr0p вам deniskore все верно ответил
з.ы. канеш стыдно, начиналось все это ещё в универе. да и нет там ничего такого особенного, если цель просто посмотреть

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

Hellspawn пишет: нужно потестить на XP, 7, 8 (86/64) а то это сферический код в вакууме пока
XP. На чистой ольке палит, на первой и второй, со стронгом детекта нет.

| Сообщение посчитали полезным:

F_a_u_s_t в стронге дров, для отладки юзермода он не к чему, тем более китайский
если нужно, задетектить можно все, но дело в целесообразности этого.
в софте такого детекта пока нету, в протах тоже, так что ни к чему.

SReg ох жесть, заняться нечем? лучше бы время на что-нить полезное потратили.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет: в стронге дров, для отладки юзермода он не к чему
Не использую, для теста подгрузил с пропатчиным интронетом, ибо ушлые ребята эти китайцы.
Делать нефиг, проверил, pydbg не палит.)

| Сообщение посчитали полезным:

ну как я и думал, у меня на 7-ке данные метод не работает 7/x64 функа всегда возвращает C0000354
там что в топку.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Щас выложу кой что.

| Сообщение посчитали полезным:

Dr0p, тебе не надоело? Пиши в ПМ, мне изредка тоже заняться нечем и не прочь потрепаться на компьютерные темы Кончай всех ...
F_a_u_s_t, кстати, у меня IDE 2012 то ли кривая, то ли я что-то не так делаю, не могли бы скинуть OllyPython в личку(Вы им вроде пользуетесь)?

| Сообщение посчитали полезным: