вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Bronco пишет:
Ольга палится.
А на чём (и чем?)?
Bronco пишет:
Я пока откат ОС сделал...
ODbgScript вылез в ring-0?

| Сообщение посчитали полезным:

Gideon Vi
Получается что фантом должен всегда быть последним в "списке",т.е.перед добавлением нового любого плагина(на ODbgScript погрешил зря),надо фантом снести,стартонуть ольгу с новым плагом,а потом опять закинуть фантом.
Кста последний ODbgScript(_http://downloads.sourceforge.net/odbgscript/ODbgScript.1.5 5.3.VC6.rar?modtime=1179131255&big_mirror=0),прикольный.Столько наворотов...
И уже скрипты vnekrilov дорабатывать не надо,сбоев на поиске API в иат нет....)))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Ну вот, выкроил я время между работой, учёбой, отдыхом и закодил новую версию.

PhantOm plugin 0.60

[*] Добавлена собственная обработка исключений (C000001E, 80000001, C000001D).
[*] Добавлено удаление int3 с EntryPoint.
[*] Исправлен баг с GetTickCount.
[*] Добавлены методы анти-детекта в драйвер.

hellspawn.nm.ru/works/PhantOm.plugin.0.60.zip

и заодно обновил:

Extreme Debugger Detector 0.44

hellspawn.nm.ru/works/EDD.0.44.zip

от аффтара:

Ну что, добавил всё что просили, кроме остановки на тлс, не хватило меня на это, будет в следующем
релизе. Хэндлинг исключений - вообще я патчу debug loop в ольге, ну и если это нужное нам
исключение, то сразу обрабатываем его! Могут быть косяки, т.к. другие плаги никогда не узнают
об этих событиях. Заодно прикрыл баг с PageGuard.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

вопрос по Extreme Debugger Detector 0.44
YieldExecution это че за проверка? она у меня детектит дебаггер при выключенной ольке

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Это типо новый финт. В е-зиносе можно почитать, если интересно
Значит у тебя запущена какая-то прога с дебажными привелегиями или ты
запускал ольгу за сеанс... Как-то так, или тупо косяк

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Ещё не тестил,но уже радости "полные штаны"
Под любую сборку отладчика подойдёт,или ждать авторскую сборку?)))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Под любую сборку отладчика подойдёт,или ждать авторскую сборку?)))))

Почти под любую, просто там опции некоторые сами отключатся, но в логе вся инфа будет!
Задача потестить дроф + погонять новые опции, я вроде глянул мельком, косяков не было

з.ы. Сборочку свою может и выложу, как до ума доведу...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
Задача потестить дроф + погонять новые опции
Погонял на чистой и патченой ольке, xpsp2. Багов за время теста не было...
Так что "Well done!"

| Сообщение посчитали полезным:

А у меня херня какая-то...))))
Ставлю бряки,ольга падает,надо со старым плагом сравнить,тогда буду уверен.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Ставлю бряки,ольга падает
Силньно не гонял но все нормально,глюков ошибок не было, чистая олька ХРSP2

| Сообщение посчитали полезным:

Bronco пишет:
А у меня херня какая-то...))))
Ставлю бряки,ольга падает,надо со старым плагом сравнить,тогда буду уверен.

Хех, поиграйся с опциями, в логе ошибок нету? На обычных бряках падает?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Я лог не смотрел,башка запепеная...))))
Yes,Оторвал!!!!!!...)))))))
-------------
С бряками не знаю,надо рабираться.Скорее всего мои руки кривые...))))))))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

При нажатии GetTickCount - Exception InvH, после обработки которого падает _ОЛЬГА_.
Addr: 7943fc7d, 0xc0000005. Все плагины отключены. Windows XP 05.01.2600 SP 2 .

Причем иногда Ольга просто тихо вырубается, иногда с сообщением об ошибке, иногда как ни в чем ни бывало продолжает свою работу...

| Сообщение посчитали полезным:

странно) короче сделай так, загрузи одну ольгу в другую ыы) в одной включи плаг,
дальше поставь бряк на 004AF6E9 и глянь что тамт твориться...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
только что проверил, запустил OLLY (NtOpenProcess (7A) перехвачена (8057459E->F8C886B8), перехватчик C:\DOCUME~1\seeQ\LOCALS~1\Temp\extremehide.sys), потом отдельно (не под отладчиком) Execryptor 2.3.9. Ollydbg закрылась. Очень странно.

| Сообщение посчитали полезным:

004AF6E9 A1 20574D00 MOV EAX,DWORD PTR DS:[4D5720]
004AF6EE 3D 1E0000C0 CMP EAX,C000001E
004AF6F3 74 20 JE SHORT OLLYDBG.004AF715
004AF6F5 3D 01000080 CMP EAX,80000001
004AF6FA 74 19 JE SHORT OLLYDBG.004AF715
004AF6FC 3D 1D0000C0 CMP EAX,C000001D
004AF701 74 12 JE SHORT OLLYDBG.004AF715
004AF703 90 NOP
004AF704 90 NOP
004AF705 90 NOP
004AF706 90 NOP
004AF707 90 NOP
004AF708 90 NOP
004AF709 90 NOP
004AF70A 90 NOP
004AF70B 68 14574D00 PUSH OLLYDBG.004D5714
004AF710 ^E9 5A9FF8FF JMP OLLYDBG.0043966F
004AF715 BB 01000180 MOV EBX,80010001
004AF71A 53 PUSH EBX
004AF71B A1 1C574D00 MOV EAX,DWORD PTR DS:[4D571C]
004AF720 50 PUSH EAX
004AF721 8B15 18574D00 MOV EDX,DWORD PTR DS:[4D5718]
004AF727 52 PUSH EDX
004AF728 E8 5005F978 CALL 7943FC7D <========= Вот по этому адресу ничего нету!!
004AF72D ^E9 4599F8FF JMP OLLYDBG.00439077

З.Ы. Три олги одна в другой - изящно выглядит =D

| Сообщение посчитали полезным:

по окошкам ольгу всё ещё можно найти
для того чтобы прикрыть эту хрень, мне нужно вытащить адреса этих функций:

>> NtUserQueryWindow
>> NtUserBuildHwndList
>> NtUserFindWindowEx
>> NtUserGetForegroundWindow

кто знает как проще?

HoBleen пишет:
004AF728 E8 5005F978 CALL 7943FC7D <========= Вот по этому адресу ничего нету!!

должно быть:
004AF728 E8 5005F978 CALL KERNEL32.ContinueDebugEvent

Странно, я вроде всё проверял... Стукни в асю!

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

так, баг нейтрализован, рекомендую закачать исправленную версию:

hellspawn.nm.ru/works/PhantOm.plugin.0.60.fix.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Это из какой библы?

| Сообщение посчитали полезным:

вообще это функи из WIN32K.SYS но нельзя ли цепануть адрес из user32.dll?
там же по идеи переходники должны быть...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Сомнительно что можно. там переходники не такие как в ntdll. Вот тут http://www.hackerthreads.org/phpbb/viewtopic.php?t=8490&sid=3565df51df 04a994e042d47ef0c421b9 http://www.hackerthreads.org/phpbb/viewtopic.php?t=8490&sid=3565df51df04a994e042d47ef0c421b9 написано про некоторые из этих функций и про связанные с ними ф-ии из user32.dll
Предлагаю захардкорить номера вызовов, не так уж и много у тебя систем.

| Сообщение посчитали полезным:

Hellspawn пишет:
так, баг нейтрализован, рекомендую закачать исправленную версию

пользую русифицированную внекрыловым ольгу (ну шибко мне понравилось ). Единственное отличие: перебиты OLLYDBG и _ODBG_ на своё. Разумеется в плаге всё тоже было заменено - никаких ошибок при загрузке небыло.

PhantOm plugin 0.60
by Hellsp@wn & Archer

>> Status: OutputDebugString patched
>> Status: Exceptions handler patched
>> Status: Driver not loaded (code = -3)
>> Status: RDTSC not hooked (code = -3)
Создан новый процесс с ID 00000A9C
0045219C Создан главный поток с ID 00000A64
>> Status: ZwQueryInformationProcess hooked
>> Status: ZwSetContextThread hooked
>> Status: PEB patched [on system]
>> Status: KiUserExceptionDispatcher hooked
>> Status: ZwContinue hooked
>> Status: GetTickCount hooked

С прошлой версией плага проблем небыло.

| Сообщение посчитали полезным:

Hellspawn пишет:
по окошкам ольгу всё ещё можно найти
Ну а чем HideTools последний не устраивает? Или он не совместим с плагином этим?

-----
Research is my purpose

| Сообщение посчитали полезным:

я с дровами вообще ничего не трогал а код -3 означает, что
драйверу не удалось загрузиться!

Error_Log пишет:
Ну а чем HideTools последний не устраивает? Или он не совместим с плагином этим?

вроде Арчер говорил, что совместим должен быть ну можно дроф не грузить, тогда
всё норм будет...

з.ы. окошки позже прикручу...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Error_Log
Не, с HideToolz пока ещё не совместим (вроде). Я уже поправил пару багов, которые могли приводить к несовместимости, но этот дров пока не используется. Когда найдём адреса функций из Shadow SDT, будет новый дроф, специально его погоняю на совместимость тогда и на разные косячки.

| Сообщение посчитали полезным:

Archer
Правильно! Только еще погоняй вместе с RkUnhooker - один раз он меня в бсод загнал, один раз - сбросил хуки (или еще как-то напоганил) фантома. Ну и другие антируткиты =)

| Сообщение посчитали полезным:

HoBleen
Да хуки он сбросит, тут ничо не поделаешь, ибо постоянно восстанавливать хуки-это извращение, а вот насчёт бсодов, попробую глянуть.

| Сообщение посчитали полезным:

Archer пишет:
с HideToolz пока ещё не совместим (вроде).
У меня всё совместимо...)))))))))
Надо просто приловчиться,чтобы "два раза на одни грабли не наступать"
Обе утили,просто находка для шпиона...))))))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn
Блин, потестил плаг...
В общем у меня патченная оля, и такие плаги:
HideOD
HideDebugger
IsDebuggerPresent
И твой...

Запустил EDD и начал щелкать по всем кнопкам, при щелчке на GetTickCount у меня оля выдала окно с ошибкой и пошла спать...
Я так не играю!
З.Ы.: Могу флешкой показать...
З.З.Ы.: Кстати HideOD почему-то спалился...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
при щелчке на GetTickCount у меня оля выдала окно с ошибкой и пошла спать...

Hellspawn пишет:
так, баг нейтрализован, рекомендую закачать исправленную версию:
hellspawn.nm.ru/works/PhantOm.plugin.0.60.fix.zip

| Сообщение посчитали полезным: