Нашел у китайцефф штуку :

www.unpack.cn/thread-16176-1-1.html, если кому-понадобится залейте на рапиду (сам не могу диалап)

Флай пишет:
The0DBG, только для отладки Фемиды, преодоление антиотладки других протов не гарантируется.

в топике еще лалала о том, что при изменениях может нарушаться работа системы... но мы ж BSODа не боимся.)

Как я понял штука только для Фемиды 1.9.3... но полной версии у китайцеф еще не мелькало.

-----
Researcher

| Сообщение посчитали полезным:

В этом же топике есть посты с линками на скрипт fxyang'a для Фемиды 1.9.10... и какой-то модифицированной ОЛИ

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
какой-то модифицированной ОЛИ
Имхо у них там олька + ХидеТулс + скрипты какой смысл качать все это?

| Сообщение посчитали полезным:

pavka, как получилось скрестить хиде тулз и ольку?

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
получилось скрестить хиде тулз и ольку?
В комплекте он там идет наверное.. почитай у китайцев в сводный доступ они вряд ли чего доброго выложат чего получше доступ ограничен..

| Сообщение посчитали полезным:

pavka пишет:
чего получше доступ ограничен..
Reading access > 20 только для избранных мемберов? Нада волосы се на жопе порвать, чтобы тя выбрали... жадные они((( можт линханши тоже ограничить)))

-----
Researcher

| Сообщение посчитали полезным:

What the simple revision doesn't have significance, only is tries to find solution to enable Themida/WinLicense V1.9.3.0 to be allowed to debug, 暂勿unauthorized biography 2. Revision floating point instruction bug uses the gzgzlxg code, revises the OutputDebugStringA question to use the Flagmax code, thank 3. Do not change OllyDBG.eXe the filename, do not have to put in other OllyDBG master routine The0DBG to repair in the edition correction folder to move, can make a mistake 4. Moves The0DBG please first to establish UDD and the Plugin way, aims at in the The0DBG folder the related catalogue 5. Debugs in front of Themida first to move in *\The0DBG\Tools\HideToolz V2.1 HideToolz.exe, the establishment option Then chooses The0DBG to repair the edition correction OllyDBG.eXe, clicks on Hide, or Add Path joins the The0DBG table of contents the 6.HideOD plug-in unit merely to choose the HideNtDebuBit option 7. Was allowed to debug Themida/WinLicense V1.9.3.0, but was unable debugged before in actuation version Themida 8.The0DBG.rar Script to collect some to peel off the shell the script 9. Has tested the system platform: The WinXPSP2+Win2000SP4, other platforms apparent do not support. Thank fxyang and the sea love affair shade test
баг с плавающей запятой давно описан можешь сам пропатчить

| Сообщение посчитали полезным:

сам сабж:
--> Тут <-- http://rapidshare.com/files/55030836/The0DBG.rar
проверил на Themida добрался без проблем до искомого.
Зы: раньше этого не удовалось сделать,либо сабж падал... либо декетился... либо в саппорт отправлял.

| Сообщение посчитали полезным:

Корейцы сваяли для фимки
[url=http://www.unpack.cn/viewthread.php?tid=17797&extra=page%3D1
]http://www.unpack.cn/viewthread.php?tid=17797&extra=page%3D1
[/url]
HanOlly - OllyDbg for Themida 1.9.3

[attach]11811[/attach][attach]11811[/attach]Hello, I am very fortunate to have come across this forum and was lucky to find Fly's The0Dbg + HideToolz.

Included in the download are the following things:
- HanOlly_Korean.exe
- HanOlly_English.exe
- HanOlly.dll
- HanOlly.sys
- HanOlly.dll (VC++ 2003 .net 1.1 Project and Code)
- HanOlly.sys (Server 2003 Sp1 DDK Project and Code)

HanOlly can run Themida 1.9.3 and WinLicense 1.9.3 applications with just HideOD, no HideToolz needed !

********************************************************************** ****************************************
* The Driver Was Compiled and Intended For a Windows XP Environment , this may not work if you use somthing other than Windows XP *
********************************************************************** ****************************************
---------------------------------------------------------------------- -------------------------------
Explanation of how I developed it and how it works
---------------------------------------------------------------------- -------------------------------

I decided to make my own version of it because I dont like the idea of having to use HideToolz in order to bypass olly. I researched
what HideToolz did a little bit and here is what I found.

NTSTATUS WINAPI NtQueryInformationProcess(
__in HANDLE ProcessHandle,
__in PROCESSINFOCLASS ProcessInformationClass,
__out PVOID ProcessInformation,
__in ULONG ProcessInformationLength,
__out_opt PULONG ReturnLength
);

This was the hook placed by HideToolz that was import in hiding olly. Now I hooked this with a diver and created the following logs:

00000000 0.00000000 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000024][0012F4DC][00000004][00000000]
00000001 0.00110237 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000025][0012FA94][00000030][00000000]
00000002 0.00140856 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000024][0012F700][00000004][00000000]
00000003 0.00144236 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000024][0012F700][00000004][00000000]
00000004 0.17458169 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000022][0012FC18][00000004][00000000]
00000005 0.17468897 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000022][0012FC18][00000004][00000000]
00000006 0.26264009 [3992]
00000007 0.26264009 [3992]
00000008 0.26264009 [3992]
00000009 0.26264009 [3992] %s------------------------------------------------
00000010 0.26264009 [3992] --- Themida Professional ---
00000011 0.26264009 [3992] --- (c)2007 Oreans Technologies ---
00000012 0.26264009 [3992] ------------------------------------------------
00000013 0.26264009 [3992]
00000014 0.26264009 [3992]
00000015 0.33095688 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000007][0012FF74][00000004][00000000]
00000016 0.34634066 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000007][030E0000][00000004][00000000]
00000017 0.39017501 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000001C][0012F808][00000004][00000000]
00000018 0.91472352 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000001][0012FD90][00000020][00000000]
00000019 0.91476429 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000003][0012FD64][0000002C][00000000]
00000020 1.07899082 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000007][0012FF70][00000004][00000000]
00000021 2.40357876 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000001A][0012ECB8][00000004][00000000]
00000022 2.40437150 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012EBD0][00000004][00000000]
00000023 2.40470695 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012EBD0][00000004][00000000]
00000024 2.40476346 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012EBC8][00000004][00000000]
00000025 2.40506458 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012EBC8][00000004][00000000]
00000026 2.41088796 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FDE0][00000004][00000000]
00000027 2.41120505 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FDDC][00000004][00000000]
00000028 2.41797566 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FD98][00000004][00000000]
00000029 2.41819692 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FD98][00000004][00000000]
00000030 2.41824722 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FD88][00000004][00000000]
00000031 2.41845870 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FD88][00000004][00000000]
00000032 2.41849756 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FD98][00000004][00000000]
00000033 2.41874576 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FD98][00000004][00000000]
00000034 2.41882133 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FD88][00000004][00000000]
00000035 2.41906548 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FD88][00000004][00000000]
00000036 2.51255846 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000001][0012F054][00000020][00000000]
00000037 2.51259804 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][00000003][0012F028][0000002C][00000000]
00000038 2.53400445 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F6A4][00000004][00000000]
00000039 2.53423572 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F6A4][00000004][00000000]
00000040 2.53427458 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F688][00000004][00000000]
00000041 2.53448939 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F688][00000004][00000000]
00000042 2.71426105 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F78C][00000004][00000000]
00000043 2.71457982 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F78C][00000004][00000000]
00000044 2.71462297 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F770][00000004][00000000]
00000045 2.71488833 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F770][00000004][00000000]
00000046 2.90308213 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FA94][00000004][00000000]
00000047 2.90339637 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FA94][00000004][00000000]
00000048 2.90344071 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FA78][00000004][00000000]
00000049 2.90371013 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012FA78][00000004][00000000]
00000050 3.20264220 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F5B4][00000004][00000000]
00000051 3.20295405 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F5B4][00000004][00000000]
00000052 3.20299792 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F598][00000004][00000000]
00000053 3.20326304 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F598][00000004][00000000]
00000054 3.20331240 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F5B4][00000004][00000000]
00000055 3.20357776 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F5B4][00000004][00000000]
00000056 3.20361733 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F598][00000004][00000000]
00000057 3.20388699 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F598][00000004][00000000]
00000058 3.20394278 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F5B4][00000004][00000000]
00000059 3.20420885 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F5B4][00000004][00000000]
00000060 3.20424747 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F598][00000004][00000000]
00000061 3.20451164 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F598][00000004][00000000]
00000062 3.20484161 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F564][00000004][00000000]
00000063 3.20511651 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F564][00000004][00000000]
00000064 3.20515633 NtQueryInformationProcess - [Themida.exe][FFFFFFFF][0000000C][0012F548][00000004][00000000]
00000065 3.20542192 NtQueryInformationProcess

| Сообщение посчитали полезным:

pavka, так а ты можеш переложить это добро с unpack? =)
А то в последнее время с одной прожкой под Themida бился, но так ничего и не получилось...

| Сообщение посчитали полезным:

sER пишет:
так а ты можеш переложить это добро с unpack? =)
пока сам не могу скачать ;(

| Сообщение посчитали полезным:

пара сек и оно тут
hexcsl.com/upload/stats/242
или тут
hexcsl.com/upload/stats/243

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

А чем корейцу,с хайдетулз плохо живётся,я так и не понял.
//Порипал У Рема,и прыгает как зайц
Да и про фантом,он наверно не слышал.
У Флая,отличный мод.
//У них там наверно,что ни прога,то фимкой накрыто.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

01 2007/09/24 11:59:08 hexcsl.com/upload/link/5232 Slil.ru
02 2007/09/24 11:59:10 hexcsl.com/upload/link/5233 Dump.ru
03 2007/09/24 11:59:20 hexcsl.com/upload/link/5234 SendMeFile.com
04 2007/09/24 11:59:28 hexcsl.com/upload/link/5235 Rapidshare.ru
05 2007/09/24 11:59:45 hexcsl.com/upload/link/5236 SendSpace.com
06 2007/09/24 11:59:54 hexcsl.com/upload/link/5237 Up.SPBland.ru
07 2007/09/24 12:00:07 hexcsl.com/upload/link/5238 WebFile.ru
08 2007/09/24 12:00:15 hexcsl.com/upload/link/5239 Wiiupload.net
09 2007/09/24 12:00:19 Error upload Sharing.ru
10 2007/09/24 12:00:31 hexcsl.com/upload/link/5241 Mihd.net
11 2007/09/24 12:00:34 hexcsl.com/upload/link/5242 UPloading.com
12 2007/09/24 12:01:23 hexcsl.com/upload/link/5243 MEGArotic.com
13 2007/09/24 12:01:55 hexcsl.com/upload/link/5244 NETload.in
14 2007/09/24 12:02:34 hexcsl.com/upload/link/5245 webFILEhost.com
15 2007/09/24 12:03:01 Error upload zUpload.com
16 2007/09/24 12:03:20 hexcsl.com/upload/link/5247 FileFactory.com
17 2007/09/24 12:04:10 Error upload MEGAupload.com
18 2007/09/24 12:04:17 hexcsl.com/upload/link/5249 DepositFiles.com
19 2007/09/24 12:04:42 hexcsl.com/upload/link/5250 ShareUA.com
20 2007/09/24 12:04:54 hexcsl.com/upload/link/5251 EGOshare.com
21 2007/09/24 12:04:59 hexcsl.com/upload/link/5252 UPpit.com
Так наверно проще будет

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Кучей ссылок не стал засорять форум

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Bronco пишет:
А чем корейцу,с хайдетулз плохо живётся,я так и не понял.

видно, человек хочет странного

Bronco пишет:
У Флая,отличный мод.

чем он отличен?

pavka пишет:
following logs

А что это за лог такой интересный? Темида уже давно ничего не хучит

| Сообщение посчитали полезным:

Gideon Vi пишет:
чем он отличен?
Ну пока могу сказать,что совместимостью, с тем что ,мну уже есть.
//Первый запуск привёл к "синяку".

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
//Первый запуск привёл к "синяку".

Этот отладчик напрочь не дружит с AdvancedOlly, и мгновенно закрывается. Но дружит с Фантомом и другими плагинами, которые установлены на моей машине (конечно, я не проверял все плагины, разработанные для Olly).

| Сообщение посчитали полезным:

по-моему, прикрутили тока баговый дроф + пропатчили от переполнения...
хз зачем это вообще нужно =\ уж лучше хайдтуулз и фантомку юзать

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
пропатчили от переполнения..
Переполнение стека?
Так это вроде ничё,нужно.
Hellspawn пишет:
уж лучше хайдтуулз и фантомку юзать
Видно про фантомку ещё не пронюхали
Пока рипают у Рема

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Видно про фантомку ещё не пронюхали

это хорошо)) да и у нас нечего рипать

Bronco пишет:
Переполнение стека?
Так это вроде ничё,нужно.

дык, старый баг + я была темка где писалось, что нужно подправить...

-----
[nice coder and reverser]

| Сообщение посчитали полезным: