вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Вопрос новичка: WindowsXP SP2, стоит чистая OllyDbg и один плагин - PhantOm.plugin.0.60.fix.zip. Проверяю работоспособность плагина программой EDD 0.44. На некоторых проверках Оля палилась, добавил галочки Ignore Exeptions в Оле(я новичек,не судите строго), также вручную добавил игнорирование ексепшена INVALID_HANDLE. Теперь во всех тестах Оля не палится, кроме одного - GetTickCount. Происходит прерывание по ексепшену с номером 00000000. Пытался добавить в Олю "последний возникший ексепшен" в список игнорирования - эта кнопка не активна. Вручную добавил ексепшен. Все хорошо, в тесте Оля перестает палится. Но как только перегружаю Олю ексепшен с номером 0000000 пропадает со списка ексепшеном для игнорирования. И следовательно, опять палится Оля тестом GetTickCount.
Где я не прав?

| Сообщение посчитали полезным:

tempread

нажми "add range" и вбей от 0 до FFFFFFFF и всё будет норм....

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn, как и думал, косяк с незагружаемым драйвером был в моей системе. После переустановки всё работает даже в такой ядрёной среде, как: фаер-антивирус-хид

| Сообщение посчитали полезным:

-[ FileName ]
Status: Debugger detected!

Что можно сделать?

| Сообщение посчитали полезным:

[/b][b]N_E_O
Переименнуй OllyDbg.exe в VipeiYadu.exe

P.S.: Hellspawn, сорцы EDD не дашь?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Переименнуй OllyDbg.exe

Пишет что не удаётся найти компонент ollydbg.exe

А плагина для скрытия от проверки [ FileName ] нету?

| Сообщение посчитали полезным:

N_E_O
Тогда в папке создай копию OllyDbg.exe и переименуй ее.
Запускай переименнованый.
А вообще Пишет что не удаётся найти компонент ollydbg.exe из-за того,
что ты юзаешь какието левые плаги.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

N_E_O
Скачай ольку от SLV там экзешник переименован и плюс устранено пару багов. Заюзай поиск по форуму по автору nopnop, он выкладывал тучу различных сборок.

| Сообщение посчитали полезным:

Amok пишет:
Скачай ольку от SLV
Гораздо проще проделать перименование, чем качать сборки.
Хотя я не спорю, если нужно распаковывать криптор или темиду с армой, лучше найти нужную сборочку.

З.Ы.: Кстати у меня тупо по GetTickCount палиццо . Хотя раньше такого небыло...
Зато по YieldExecution - вааще никогда

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
P.S.: Hellspawn, сорцы EDD не дашь?

позже скину, тока напиши куда...

Spirit пишет:
З.Ы.: Кстати у меня тупо по GetTickCount палиццо . Хотя раньше такого небыло...

странно, косяк с другими плагами? с посл. версиями фантомки и edd не должно ничего палиться...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
косяк с другими плагами
хз. я для анти-анти-отладки еще только AdvacedOlly использую...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Млин, у меня опять >> Status: Driver not loaded (code = -3). Вроде ничего с момента последнего поста не устанавливал, что за на фиг

N_E_O пишет:
Что можно сделать?

после загрузки edd посмотри, как у тебя сабж захукал (кнопка L на панели)

Spirit пишет:
Переименнуй OllyDbg.exe в VipeiYadu.exe

очень, очень смешно

Spirit пишет:
Тогда в папке создай копию OllyDbg.exe и переименуй ее.

ни надо этих плясок с бубдном - фантом прекрасно хайдит запущенный экзешни, что правда не спасает от поиска в папке, но это edd и не палит.

Spirit пишет:
Пишет что не удаётся найти компонент ollydbg.exe из-за того, что ты юзаешь какието левые плаги.

А что, есть правые (ака выпущенные разрабом ольги)? Все плаги левые и всем нужно ollydbg.exe, и _ODBG_ от экзешника.

| Сообщение посчитали полезным:

N_E_O пишет:
-[ FileName ]
Status: Debugger detected!
Так этот детект постоянно палит...))))
либо загрузи какой нить сабж в ольгу,тогда и дровина сработает,либо перед запуском отладчика
запусти HideToolz.exe,и спрячь процесс.
Тогда детект палить не будет.
У Spirit, ЭГО развито...))))),вот он и прикалуется с переименованием....))))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Gideon Vi

попробуй поискать стоку в реестре extremehide.sys и удалить соотв. запись

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Запускаю olly EDD детектит [ YieldExecution ] и [ FileName ] в настройках PhantOm'а ставлю единственную галку на "load driver" в логи оли "Status: Driver loaded" все проверки EDD проходит, но при запуске проги MyChatServer (EXECryptor ) olly всеровно вылетает

В чём может быть проблема?

| Сообщение посчитали полезным:

ольга должна быть патченная (класс окон) или прикрыть хайдтуулзами..
говнопрот детектит кривые хуки и бряки на апи, ер Да там много косяков, но
запустить можно

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
попробуй поискать стоку в реестре extremehide.sys и удалить соотв. запись

а, к стати мей би, мей би Я уже из образа восстановился, если опять не загрузится - проверю.

N_E_O пишет:
В чём может быть проблема?

в том, что это EXECryptor почитай соответствующую тему.

зы. в теме по MyChat есть скрипт by HAGGAR - заюзай, он классно антиотладку съедает.

| Сообщение посчитали полезным:

Hellspawn, скажи честно - я неудачник?

-[ NtGlobalFlag]
Status: Debugger detected!

В логе всё лоадед и хукед. xADT проходит нормально. В системе только фаер и дрова стара с sptd, но я уже и их хуки с нотификацией снёс. Покажи, пожалуйста, кусок исходника по этой фишке из EDD

| Сообщение посчитали полезным:

log('-[ NtGlobalFlag]');
PEBNT:=GetPDB;
If (DWORD(PEBNT.i64NtGlobalFlag) <> 0) then log('Status: Debugger detected!') else log('Status: Nothing!');


как то так

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Нашел трик, по которому олька палится.
Ссылка на сорец в ЛС.
Надеюсь добавишь анти-фичу.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Gideon Vi пишет:
скрипт by HAGGAR - заюзай, он классно антиотладку съедает.
У китайцев имхо скрипт лучше почти 100% попадает на VMоеп снимает гимор с восстановлением оеп единствено что часть скрипта по востановление импорта иногда нужно править ;) под старые сабжи..

| Сообщение посчитали полезным:

pavka

Где этот скриптик (?), засвети.

| Сообщение посчитали полезным:

Spirit

это старый трюк) ещё на васме читал про него... боюст сделать что-то врядли удасться,
т.к. это косяк в самом отладчике и как поправить хз

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

NIKOLA пишет:
Где этот скриптик (?), засвети.
Я выкладывал где то в теме по скриптам вот на всякий держи я там паузы расставил на оеп можно вобще выдернут в отдельный скрипт и на иат там иногда править нужно .. хотя иат фигня главное первая часть

28af_14.07.2007_CRACKLAB.rU.tgz - Execyptor By.okdodo.txt

| Сообщение посчитали полезным:

Hellspawn пишет:
это старый трюк) ещё на васме читал про него... боюст сделать что-то врядли удасться,
т.к. это косяк в самом отладчике и как поправить хз
Из этого следует - что если данный трик накрыть ВМом, то хрен кто под олей сможет прогу отлаживать?
Как-то ведь по-любому можно...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Как-то ведь по-любому можно...

можно, чтобы при вызове RDTSC генерилось исключение и таким образом отловить
все вызовы

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Блин, значит можно и в плаг встроить...
Надо попросить помощь у наших гуру.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

вопрос на засыпку, всё о том же:

>> NtUserQueryWindow
>> NtUserBuildHwndList
>> NtUserFindWindowEx
>> NtUserGetForegroundWindow

В принципе как достать функи ясно, но нужен дизасм, так вот, можно для этих целей заюзать
ольгин? Есть у кого примеры его? Чем быстрее я прикручу, тем быстрее будет релиз)))

з.ы. Арчер категорически не хочет ничего хардкорить!

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
А что конкретно нужно?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Hellspawn
А Ms-Rem как находил эти функи? Вроде без хардкора, он заботился о совместимости... Спроси у нынешних владельцев исходников.

| Сообщение посчитали полезным: