вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Gideon Vi пишет:
pep почти отодрали
Я тут переводил статью про PeP
ahteam.org/articles.html?do=view&id=30

| Сообщение посчитали полезным:

pavka
ВмПрота нет уже.Другие заморочки))))))))))).После снятия пепа,сабж ключа не хочет видеть.
Gideon Vi
С новым плагом,обрабатывать файл в начале(секцию срезать,плюс заплатка),уже необязательно.
Срабатывает правда одна привелигерованная инструкция.По шифту + ф9,можно пройти.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Gideon Vi пишет:
кому интересно возиться с антиотладкой - скачайте LikeRusXP Localization v5.18. интересные трюки начиная с 5,17 появились.

может расскажешь? а то у меня особо времени нету искать антиолтадку

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
кому интересно возиться с антиотладкой - скачайте LikeRusXP Localization v5.18. интересные трюки начиная с 5,17 появились.
Проще скачать ПЕП да ковырять его

| Сообщение посчитали полезным:

pavka пишет:
Проще скачать ПЕП да ковырять его
в новом пепе вроде как очень многое изменилось, а старый вообще на половине компов даже не запускается (в смысле не сам пеп а проги им запроченые)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
в новом пепе вроде как очень многое изменилось, а старый вообще на половине компов даже не запускается
Скачал сегодня 2.0 та же история ни Си ни асм не запускаются Дельфи протектит нормально запротекченый Дельфи со всеми опциями запускается под олей с фантомом без проблем нового на вскидку особо ни чего нет убраны маркеры

| Сообщение посчитали полезным:

Hellspawn пишет:
может расскажешь?

vnekrilov пишет:
На версиях LikeRusXP 5.17 и 5.18 SetySoft применил какую-то пакость, которая вызывает заставку Windows с обнаружением ошибки запуска программы (срабатывает SEH операционной системы).

pavka пишет:
Проще скачать ПЕП да ковырять его

К сожалению всё не так радужно. Новые версии (в том числе и те, которыми протектится LikeRusXP идут только за бабки. Бред конечно, но хозяин-барин.

Sh[AHT] пишет:
Я тут переводил статью про PeP

пасиб за ссылку.

| Сообщение посчитали полезным:

интересные трюки
Я по этим трюкам не силён,но мне кажется это баг в VCL BusinessSkinForm.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco

А не поделишься тутором vnekrilov-а по снятию PeP?
Заранее спасибо!

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE пишет:
А не поделишься тутором vnekrilov-а по снятию PeP?

Тоже почитал бы.

| Сообщение посчитали полезным:

кажется это баг в VCL BusinessSkinForm
Не,не баг,другое что-то.У меня почему привелигированные инструкции на uxtheme.dll срабатывают.

int2b - что это за команда?
А не поделишься тутором
Вот не знаю,что на это сказать.Одну ошибку уже сделал.
Может поймёте....(((((((((((((

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Вот не знаю,что на это сказать.Одну ошибку уже сделал.
Может поймёте....(((((((((((((
Ну что сказать? "Добрый" ты малый.... Думаю, что и все остальные будут с тобой столь "добры"...

NIKOLA
Тоже почитал бы.

Ну что? Могу повториться.... до китайцев и их солидарности нам далеко.... пример смотри выше...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE пишет:
до китайцев и их солидарности нам далеко....

Ты прав, о солидарности и речи быть не может.

| Сообщение посчитали полезным:

"Добрый" ты малый....
Зря вы так.....у статьи есть же автор,который по личным делам был занят.
Статья скорее всего будет дорботанная,и на днях возможно автор сам зальёт.
Защита имеет частный случай,в новом пепе есть изменения....

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
в новом пепе есть изменения....
Хм.. Никаких глобальных изменений в самом пепе я не увидел! Вообще то странно упоминать о каких то статьях и Приватном пепе которого ни кто не видел и не увидит! Посмотрел сегодня вашу дискусию на руборде и так думаю что вряд ли кто либо увидит какую либо статью ...

| Сообщение посчитали полезным:

pavka пишет:
Вообще то странно упоминать о каких то статьях и Приватном пепе которого ни кто не видел и не увидит! Посмотрел сегодня вашу дискусию на руборде и так думаю что вряд ли кто либо увидит какую либо статью ...

Я получил некоторые замечания и предложения от Bronco, и сейчас дорабатываю статью по снятию PEP. В LikeRusXP приенен PEP v2.0, в котором немного усложнена анти-отладка, анти-дампирование и т.п.
Я не возражаю, чтобы Bronco и PE_Kill выложили где-либо проект моей статьи; чем будет больше замечаний и предложений, тем будет лучше.
Статью по снятию PEP планирую выложить на CrackL@b, и могу попросить разместить ее на сайте Hellspawn.

Hellspawn

В PEP применена эмуляция некоторых API, которые используются некоторыми плагинами, в т.ч. и GetProcessTimes. Естественно, что плагины настроены на работу с оригинальными API, а не с эмулированными, поэтому такие примочки приходится проходить вручную

| Сообщение посчитали полезным:

vnekrilov пишет:
GetProcessTimes

хм) я же перехватываю в основном Zw и Nt функи, должно работать как надо...

vnekrilov пишет:
разместить ее на сайте Hellspawn

без проблем!

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

по снятию PEP. В LikeRusXP приенен PEP v2.0
Или не все опции,или это всё таки 1.9.
Приватном пепе
О таком не слышал,качнул ради интереса 2.0 с офтопа.
выставил все опции плюс not for idiots/newbies
Непатченный пока палит Олю,попатчил секции,теперь вместо окна кейгена,смотрю на мессагу.
pavka
Если тебя интересует ранняя статья,кинь мыло в ПМ.Раз Автор не против,в препе вышлю.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Непатченный пока палит Олю
Спатченным пока не разобрался,а с этим можно,стартует,правда памяти жрёт дофига.Связку надо расширить:
HideToolz,advancedolly_b12.dll(без использования закладок антиотладки),плюс плагин от Hellspawn.
С импортом по другому,пока ещё не разобрался.
Вообщем перемены во 2.0 на самом деле есть.
Ну я так понимаю,это не особо кого тревожит.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Спатченным пока не разобрался
Разобрался.Анти дамп проще паренной репы.)))))))))Выставляем VirtualSize секции .bss 00001000.
И пересчитываем все секции,правим дериктории,и добавляем для заплатки новую секцию,сравниваем rawsize с предыдущей.Пишем заплатку.Можно и удалить эту секцию,но только ни в коем случае не править NumOfRwaAndSize - иначе мессага.

Спёртые байты bp GetModuleHandleA,три или четыре раза F9,в стеке найдёте.
Импорт конечно очень далеко уже.
Где то такая цепочка байтов:
B2 06 MOV DL,6
8BC3 MOV EAX,EBX
E8 0CF0FFFF CALL 00341154
8B43 2C MOV EAX,DWORD PTR DS:[EBX+2C] <--сюда ставим бряк, в регистре ecx будет функция
0343 30 ADD EAX,DWORD PTR DS:[EBX+30]
99 CDQ
52 PUSH EDX
50 PUSH EAX
8B4D DC MOV ECX,DWORD PTR SS:[EBP-24]
8BC1 MOV EAX,ECX
33D2 XOR EDX,EDX
Вообщем как всегда,много шума,и много возни по востановлению.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Отправил статью по снятию протектора PEP с названием "Снятие протектора PEP на примере программы LikeRusXP v5.16 по vnekrilov.rar" на CRACKL@B в раздел "RAR-статьи". Не знаю, когда ее выложат на сайте модераторы форума.

Hellsp@wn

Сообщи, куда тебе можно отправить статью.

| Сообщение посчитали полезным:

vnekrilov, статья о системе регистрации будет приватной?

| Сообщение посчитали полезным:

Gideon Vi пишет:
vnekrilov, статья о системе регистрации будет приватной?

Нет, она будет публичной.

| Сообщение посчитали полезным:

Для всех желающих ознакомиться со снятием протектора PEP, в разделе RAR-статьи CRACKL@B выложена моя статья "Снятие протектора PEP на примере программы LikeRusXP v5.16 по vnekrilov". Буду очень признателен за замечания, пожелания и предложения.

| Сообщение посчитали полезным:

vnekrilov
Интересная статья.
Есть замечание: при создании новой секции NewSH, мы выставляем rawsize в 100, однако физически файл кончается секцией tls длиной 20, и остальные E0 байт не существуют, и поэтому файл не грузится. Добавлением в конец файла E0 байт проблема решается.
К сожалению не смог довести до конца, т.к. единственно доступная сейчас версия - 5.18, которая выдает ошибку, о которой вы упомянули в конце. Однако хотел бы спросить, как вы нашли места, в которых видны имена, типы и размеры ресурсов? И как узнали про детали архивации его пакером?

| Сообщение посчитали полезным:

vnekrilov
Создай тему о снятии пепа с лайкруса в отдельном топике, этот топик о плагине для ольки

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

AirSpirit
См.линк в первом посте этой страницы.

Тема действительно ушла далеко в сторону.

| Сообщение посчитали полезным:

этот топик о плагине
Работает нормально...Правда после выхода из отладчика,нереально запустить HideToolz.
Зравствуй - синий экранчик.
при создании новой секции
Я могу ошибаться,но кажется PE Tools физически секцию не создаёт,если её не подгрузить.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Работает нормально...Правда после выхода из отладчика,нереально запустить HideToolz.

странно, можешь к Арчеру обратиться а вообще ХайдТуулз лучше запускать до ольги

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Я не считаю это проблемой,просто для информации.
После выхода из Оли без использования плагина,при запуске хайде экранчика нет.
Я на всякий случай просто перезагружаю ОС.
Аспр,Арма,ПеП отладчик не палит,на ком ещё проверить не знаю.
Детектор отличный....

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: