вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

конкретно, как юзать вот это

function Disasm(src: PChar; srcsize: ULONG; srcip: ULONG; srcdec: PChar;
disasm: p_disasm; disasmmode: Integer; threadid: ULONG): ULONG; cdecl;

src - это типо источник?
srcdec - это чё такое?
srcip - ?? -_-

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
src - это типо источник?
Похоже что так.Это же переменные,как хочешь так и обзывай...))))
У тебя только название функции?
В гугле что-то есть,и как раз для Ольги.
Но там регится надо,чтобы возможно слить сорцы.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn
А чем не устраивает extreme_dumper\src\Libs\advApiHook.pas(?) или там, в аттаче его нет?
Вроде можно подкорректировать, как захочешь…
ИМХО Disasm думаю, в данной ситуации мало, чем полезна будет, ну или я пропустил какой-то пост, можно подробнее о реализации чуток (в одном посте), где нужно применить…
Просто эти параметры, о которых ты спрашиваешь чисто символические, важной является в данном случае структура disasm: p_disasm, которую заполняет Disasm, после этого надо будет анализировать полученные данные, конкретнее можно, какими данными из этой структуры ты хочешь воспользоваться?

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Demon666

мне нужен дизасм длин не больше) ну тип команды + длинна чтоюы найти CALL XXXXXXXX и т.д.
но я не хочу ничё прикручиваться стороннее, ведь в ольге уже есть такая возможность

з.ы. отдыхал недельку))) ща вольюсь в русло с новыми силами....

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Дизасм тебе для чего нужен? Для нахождения самой Shadow SDT ? MsRem использовал свой ldasm для этих целей, номера сервисов захардкодены под разные билды виндов.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log
Shadow SDT ищется в драйвере, это моя часть, я уже нашёл это дизасмом. Он ищет номера сервисов, хардкодить я ни в какую не хочу, поэтому ищет вызовы сервисов из user32.dll через дизасм.

| Сообщение посчитали полезным:

Hellspawn
Ты скажи, у тебя получилось вызвать Disasm(?), со всеми параметрами, про которые спрашивал, предаваемыми в Disasm, разобрался?(или более подробнее расписать надо параметры?)
-------------------------------------
Hellspawn пишет:
ведь в ольге уже есть такая возможность
Ну не знаю, попробуй, но думаю надо делать свое при возможности, в некоторых моментах эти хитрожопые говнописатели протов придумывают такое просто слов нет, образно говоря даже кодингом Рема невозможно реализовать задуманное, возьму простенький для примера недавний случай, вот Smon у себя вставил сигнатуру, при которой Олькин анализатор если вдруг нарвется, то отладчик падает, не знаю, может это старая бага а может и новая без разницы, но это говорит уже о том, что лучше свое делать, чем юзать что-то другое, но идеи в принципе заюзать можно и чужие %) ИМХО
-------------------------------------
Hellspawn пишет:
+ длинна чтоюы найти
Вроде к Disasm претензий нет, возвращает в EAX реальную длину команды нормально, но есть один недостаток - это префиксы, с этим полностью нарушен правильный синтаксический анализ команды, скорее это делалось непосредственно для нужд самого отладчика, чем соблюдения общепринятых правил дизасмов...
(надо делать дополнительный цикл на проверку префикса, если такой имеется, отправлять заново на анализ, если этого не сделать, то при наличии в коде подсадных префиксов будет возвращаться неправильная длина команды)
Но это я так обобщающее на всякий случай, конкретно в твоем случае, возможно, этого не надо будет делать...
(мля, чет поискал на диске сейчас, так и не нашел хедеров на Delphi, наверно на другом компе)
Эта инфа для поверхностного анализа, что ниже (тебе, скорее всего этого достаточно будет)
Hellspawn пишет:
найти CALL XXXXXXXX
Что касается CALL xxxxxxxx тут, после того как Disasm сделает свое грязное дело и заполнит структуру, надо проанализировать поле структуры с именем
cmdtype dword ?; +[604h] One of C_xxx // сюда как раз и пишется тип команды
это константы, которые нужны для парсинга
C_TYPEMASK equ 0F0h; Mask for command type // обнуляем лишни биты при помощи and
C_JMP equ 050h; JUMP instruction // это если команда jmp
C_JMC equ 060h; Conditional JUMP instruction // это если команды типа jz,jpe etc.
C_CAL equ 070h; CALL instruction // это если команда CALL(для твоего случая как раз подойдет)
+ если потребуется, надо проанализировать еще поле структуры с именем
jmpaddr dword ?; +[630h] Destination of jump/call/return // тут будет реальный адрес прыжка или NULL

Блин, может вот так сразу и непонятно все это будет, приложу кусочек кода на всякий случай
В EDI адрес, который дизасмим
invoke Readcommand,edi,ADDR szTempBuffer
push eax
invoke Getcputhreadid
pop ecx
invoke Disasm,ADDR szTempBuffer,ecx,edi,0,ADDR disasm,DISASM_ALL,eax
.if eax != 0
mov ecx,disasm.cmdtype
and cl,C_TYPEMASK
.if cl == C_CAL
mov ecx,disasm.jmpaddr
.if ecx != 0
invoke Findmodule,ecx
.if eax != 0
mov ecx,disasm.jmpaddr
.if [eax+t_module.issystemdll] != 0
add esi,LengthCommand
mov FlagExport,0
mov TableBreakpointAddress,esi
.endif
.endif
.endif
.endif
.endif

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

PhantOm plugin 1.00

hellspawn.nm.ru/works/PhantOm.plugin.1.00.zip

[*] Добавлена защита окошек OllyDbg.
[*] Теперь OllyDbg патчиться независимо от ImageBase.

переписан дроф, стал ещё стабильнее
ну ещё мелкие баги пофиксил... энжой млин)))))))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Хрюшка_со_вторым_пакетом_OLLYDBG_из_сборки_ShadowOllyDbg
-------------
Log data
Address Message
OllyDbg v1.10
CommandBar v3.10.109c
Original Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn
OllyDump v3.00.110 by Gigapede
OllyDbg PE Dumper v3.03 by FKMA

PhantOm plugin 1.00
by Hellsp@wn & Archer
ODbgScript v1.48
by Epsylon3@gmail.com from OllyScript 0.92 by SHaG
ODbgScript v1.64.3
odbgscript.sf.net

>> Status: OutputDebugString patched
>> Status: Exceptions handler patched
NtUserGetForegroundWindow = 00001194
NtUserFindWindowEx = 0000117a
NtUserQueryWindow = 000011e3
NtUserBuildHwndList = 00001138
>> 222
>> Status: Driver loaded
New process with ID 0000054C created
00469674 Main thread with ID 0000062C created
>> Status: ZwQueryInformationProcess hooked
>> Status: ZwSetContextThread hooked
>> Status: PEB patched [on system]
>> Status: KiUserExceptionDispatcher hooked
>> Status: ZwContinue hooked
>> Status: GetTickCount hooked
----------------
Детектор новый будет?
EDD всё равно секёт на -[ FileName ]

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Hellspawn пишет:
энжой млин)))))))

Пасиб за релиз - один из маст-хевных плагов для Оли

Bronco пишет:
EDD всё равно секёт на -[ FileName ]

Ага, подтверждаю

| Сообщение посчитали полезным:

Такой вопрос.... После установки последней версии фантома,во время отладки, у меня начал вылетать экплорер(ошибки доступа к памяти).Причем не во время серфинга, а тот процес explorer, который рабочий стол делает. Причем ошибки появляются даже если ничего не делаешь(пару раз я просто по тел. говорил, и выскочила ошибка). Касперского на машине нет. Система Windows XP SP2 со всеми обновлениями по безопасности. Может быть фантом в этот виноват?

| Сообщение посчитали полезным:

tempread
Попробуй отключить опцию скрытия окошек, может с этим связано. А вообще я дроф тестил довольно тщательно на совместимость и безопасность, в принципе, не должно быть такого.

| Сообщение посчитали полезным:

tempread пишет:
После установки последней версии фантома,во время отладки, у меня начал вылетать экплорер(ошибки доступа к памяти).
+1 - вылетает XP SP1

| Сообщение посчитали полезным:

YDS
Я ж говорю, попробуйте отключить скрытие окошек. Это дало что-нибудь?

| Сообщение посчитали полезным:

Хотел еще потестить, но раз прозвучал вопрос,отвечу. После отлючения скрытия окошек,где-то за час ни одной проблемы не было. Сейчас включил скрытие окошек, и пытаюсь получить проблему...Но 5 минут прошло уже, а пока все тихо....

| Сообщение посчитали полезным:

Есть ошибка!

| Сообщение посчитали полезным:

Нашел способ повторения проблемы!(или по крайней мере у меня проблема всегда есть)
1. Запускаем OllyDbg с одним плагином фантомом.
2.Открываем calc.exe.
3.Ставим брекпоинт(F2) за пару команд от EP.
4.Нажимаем F9.
5. Щелкаем правой кнопкой мыши на панели задач, и выбираем "Диспетчер задач"
6.Если нет ошибки, повторяем п.3-6.

У меня ошибка возникает на первой-второй итерации.

| Сообщение посчитали полезным:

И еще, я не знаю, это баг или нет.
Замечал и в прошлой версии фантома, заметил и в этой.
При установке-удалении плагина, почему то OllyDbg "забывает" о том, что стоят галочки Options-Debugging options-Exceptions о передаче всех ексепшенов отлаживаемой программе. Причем нарисованные галочки есть, но по факту результата нет. Решение проблемы - снять эти галочки, и поставить опять.

| Сообщение посчитали полезным:

tempread
Хм, у меня стоит Win XP SP2 чистая (без патчей, из софта только сайс). Сколько ни тыкал, баг повторить не удалось. =/ И проги разные грузил и итераций штук по 10 было. Зато заметил, что процесс ольки светиццо в taskmgr, что ахтунг, видимо, что-то я всё-таки прозевал.

| Сообщение посчитали полезным:

Хотел проверить еще раз свои слова, повторить глюк. Сделал несколько итераций - нет ошибок. Нажал пуск,и выбрал ярлычек эксплорера - и выскочила ошибка. Так что мой метод у меня работает и сейчас...
И еще, уже дважды был одинаковый глюк.
Загружаю в Олю Calс.exe. Останавливается она на EP. Больше ничего не делаю в Оле. Щелкаю правой кнопкой по панели задач. Щелкаю в меню по "Диспетчер задач" - ничего не происходит. Раз щелкнул,второй - нет результата. Нажал F9 -запустился калькулятор. Вызвал опять "Диспетчер задач" - открывается. Но при нажатии на кнопку "Пуск" - опять ошибка.
И еще хочу добавить, что я перегружаюсь после каждой установки-удалении плагина, а также после возникающих ошибок.

| Сообщение посчитали полезным:

Archer пишет:
процесс ольки светиццо в taskmgr
ХР сп2, процесс нигде не светится, но таскманагер падает через секунду после запуска. Експлорер ведет себя нормально.

| Сообщение посчитали полезным:

У меня в диспетчере задач процесс ollydbg.exe есть , все поля указаны, но в поле "Имя пользователя" ничего нет.

| Сообщение посчитали полезным:

Олька не ныкалась из процессов-это мой косяк с драйвером, я пофиксил.
Что касается ошибки у tempread, то лично я у себя на виртуалке повторить её не могу. Чисто теоретически я могу подумать только на 1 вещь, её я тоже поправил, будем с хеллспавном думать насчёт фикса. А пока пусть остальные выскажутся на тему этого косяка, кто смог повторить?
Как вариант-попробуйте повырубать все фаеры/антивири и прочую муть. Отдельная история с каспером, в идеале его бы анинсталлить нах, но если стоит, предупреждайте, буду думать.

| Сообщение посчитали полезным:

tempread пишет:
У меня в диспетчере задач процесс ollydbg.exe есть , все поля указаны, но в поле "Имя пользователя" ничего нет.
У меня тоже имени пользователя нет. Вынь ХР СП2

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

tempread
Не подтверждаю, реальная машина, WinXP Home SP2, OllyDbg XP Style, Phantom 1.0

-----
DREAMS CALL US

| Сообщение посчитали полезным:

сёня пол дня возился с одним заказом, при этом мучал ольгу нещадно,
как оказалось потом, я забыл уюрать галку "грузить дроф" и никаких косяков,
система основная XP sp2... будем разбираться с вашими)))

з.ы. исправлен косячок в дрове... тестим дальше!

hellspawn.nm.ru/works/PhantOm.plugin.1.01.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

У меня тоже этих косяков с калькулем,нет.WinXPpro,SP2 корпоративный,ставил как обновление.
В Диспетчере, Олюшка светиться,и в приложениях,и в процесах.
-----
Что касается галок в чеках,да и вообще.Один раз попался,терь перед инсталом нового любого плага,фантом сношу,в ини его параметры,тоже затираю.Стартую отладчик без фантома,и с новыми плагами,закрываю.
Инсталю фантом,выставляю чеки.Суета, но так спокойней

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

XP SP2 Corporate - при выставлении галки дроф - бсод, выгрузил AtiTrayTools и DaemonTools, отключил Drweb, дроф загрузился
Да, кстати - плагин устраняет "антидамп" пепа ? - олька с ним у меня не висит выделяя за 700 мб памяти, а грузиццо сразу
Пока что не помогает от обсидиума, от фемиды, да и от пепа тоже

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Хм... щас експлорер слетел....
Загрузил ольку, в фантоме снял галку с "Hide OllyDBG window", вызвал таскманагер, бах, и експлорер слител...

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Smon пишет:
Пока что не помогает от обсидиума

эм? летает тока в путь, главное не включать protect drx, в проте самотрассировка...

-----
[nice coder and reverser]

| Сообщение посчитали полезным: