Подскажите, пожалуйста, как скрыть плагины ollydbg от обнаружения программой ? Слышал, что сейчас уже многие разработчики делают защиту, которая находит эти плагины. То есть сам отладчик не обнаруживается, плагины его защищают, а сами видны. Подскажите, что сделать, чтобы их скрыть.

| Сообщение посчитали полезным:

Спасибо, за советы, действительно прога через структуру функции Process32Next считывала ид родителя процесса своего и потом сравнивала с эксплорером. Ну и если они не равны, то убивала родителя, то есть отладчик.

У меня тут еще вопрос такой. Скачал архив сайта tuts4you, там нашел интересный крекми Anti0lly Tester, он обнаруживает отладчик, просматривая папку родителя, я использую отладчик оллу с переименванным exe,(то есть у меня в папке отладчика лежат ollydbg.exe и переименованный файл Parcredo.exe, оригинальный нужен для нормальной работы из переименованного) но в папке еще лежит оригинальный файл ollydbg.exe, который обнаруживает этот крекми.

Вот можно ли как-то переименовать этот файл, чтобы в папке отладчика не было ни каких файлов с именем ollydbg ?

| Сообщение посчитали полезным:

Как вариант, можно в плагинах патчить строку OllyDbg.exe на какой-нибудь xxxxxxx.exe и переименовать OllyDbg.exe в xxxxxxx.exe. Тогда не потребуется наличия файла с таким именем в директории отладчика.

| Сообщение посчитали полезным:

Нельзя после переименования класть оригинальную олли в каталог отладчика. Многие плаги отвалятся и работать все будет через

| Сообщение посчитали полезным:

Какая-то надуманная проблема. То ли фантом, то ли стронг умеют подделывать ParentId так, что через АПИ нельзя будет определить, кто есть родитель процесса. GetShellWindow получает хэндл окна оболочки, GetWindowThreadProcessId получает идентификатор процесса, которому принадлежит окно. Далее хуками Native API достигается подделка ParentID. И кладите что хотите куда хотите. А процесс отладчика вообще скрывается из списка процессов.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Скрывать id плохая идея. Лучше подставлять id explorera. У меня уже было приложение, которое не запускалось даже тотал коммандером. Пришлось писать хук. От плагинов было только хуже. Они не давали получить id родительского процесса. Пришлось отключать.

| Сообщение посчитали полезным:

Nightshade пишет:
У меня уже было приложение, которое не запускалось даже тотал коммандером. Еще бывают приложения не работающие на виртульаных машинах, в песочницах, без прав на загрузку дров, накрытые одновременно десятками протекторов с вм. При этом по полезной нагрузке они не далеко ушли от хэллоу ворда. Возникает вопрос: кто в здаровом уме пользуется таким говнософтом?

| Сообщение посчитали полезным: sivorog

Если ты думаешь, что всегда и всему есть аналоги - ты живешь не в этом мире. Простой пример онлайн игры.

| Сообщение посчитали полезным:

Nightshade пишет:
Если ты думаешь, что всегда и всему есть аналоги - ты живешь не в этом мире.
Если имеется полезный говнософт с кучей проблем, то к нему всегда найдется аналог. Если аналога нет - значит софт никому кроме тебя не нужен.
Ты хочешь сказать все онлайн игры являются говнософтом и все они уникальны? Назови парочку популярных онлайн игр требующих отключения фаервола и антивируса при их наличии.

| Сообщение посчитали полезным:

Nightshade пишет:
Лучше подставлять id explorera.
Согласен на все 100, лучше делать работу чисто. Вот у нарвахи в уроках есть про крекми Патрика, там как раз прога сверяет родителя с эксплорером. Кстати может кто знает каким протектором он там упакован, а то интересно, урок прочитал, защиту этого пакера снял, а какой пакер научился снимать не знаю))

| Сообщение посчитали полезным:

jeep, Вы об чем поговорить-то пришли?

| Сообщение посчитали полезным: plutos

Я бы время создания обьектов проверял..

> Назови парочку популярных онлайн игр требующих отключения фаервола и антивируса при их наличии.

Большинство популярных игр, при наличии KIS

| Сообщение посчитали полезным:

Dr0p пишет:
Большинство популярных игр, при наличии KIS
Хотелось бы узнать список этих самых популярных игр и то откуда ты их скочал (ты же их скочал а не купил). Заодно потребуются имена того с чем они склеены. Давно подозревал, что у тебя компег в ботнете пашет. И свое днище виртуал "vx" пусть обязательно запостит ответ в "ответы лабу" на твоем уберфоруме далб-в.

| Сообщение посчитали полезным:

https://4gameforum.ru/showthread.php?t=288074
Список игр(https://ru.4game.com/)
https://support.gamenet.ru/kb/articles/29-view
Список игр(http://gamenet.ru/)
Дальше продолжать?

| Сообщение посчитали полезным:

Ребята, есть онлайн игры с проблемами. Смиритесь. Зачем переходить на пустые оскорбления.
У меня одно время battlefield 3 не хотел работать с outpost.

| Сообщение посчитали полезным:

Nightshade пишет:
https://support.gamenet.ru/kb/articles/29-view
Список игр(http://gamenet.ru/)

Это не отключение авера, а добавление в лист исключений. Авер как работал с ними так и работает. Вы хоть читайте что постите.

Nightshade пишет:
https://4gameforum.ru/showthread.php?t=288074

А это руткит фрост от криворуких погромистов. Не вижу проблемы.

| Сообщение посчитали полезным:

Alchemistry

Как бы имел ввиду что каспера шлак стока систему грузит, что все хомяки его отключают, перед тем, как что то запустить. И я тоже этот лаг отключаю. Эта херня стоит чисто для тестов рк атак.

| Сообщение посчитали полезным:

Dr0p, человеку не интересна наша аргументация, он пришел поспорить.

| Сообщение посчитали полезным:

А добавление в лист исключений и отключение имеет принципиальную разницу?
Вы туп и дальнейший разговор с вами не имеет смысла.

| Сообщение посчитали полезным:

_FUCKER_ пишет:
можно в плагинах патчить строку OllyDbg.exe на какой-нибудь xxxxxxx.exe и переименовать OllyDbg.exe в xxxxxxx.exe. Тогда не потребуется наличия файла с таким именем в директории отладчика.
А если нет исходников плагина, это можно как-то сделать ?

| Сообщение посчитали полезным:

kola1357 пишет:
А если нет исходников плагина, это можно как-то сделать ?

hex, строки в asci
Можно обойтись плагином

904c_05.06.2014_EXELAB.rU.tgz - renameod.rar

| Сообщение посчитали полезным: kola1357, _FUCKER_

kola1357, не помешало бы тебе хотябы азы почитать, тк совсем ламерские вопросы задаёшь. Если уж не поймёшь, что тебе Gideon Vi по этому поводу разъяснил, то дело плохо... Правда я не имел ввиду плагины, а тупо патч по маске. (В SnD 110 например патчится экспорт _ODBG_ -> _SNDG_ и тому подобное. Но раз есть способ через плагины, то тут ещё проще

| Сообщение посчитали полезным:

а зачем патчить олькины экспорты, плагины и страдать прочей херней если олька скрыта и пид эксплорера? ну и каким тогда макаром будет детект?

| Сообщение посчитали полезным:

_FUCKER_ пишет:
Правда я не имел ввиду плагины, а тупо патч по маске.
Я так и делал, открыл длл в блокноте, сделал поиск фразы ollydbg.exe и подредактировал, только работать перестало.
_FUCKER_ пишет:
не помешало бы тебе хотябы азы почитать
Читаю туторы на tuts4tou, если есть предложения, то напиши. Туторы нарвахи читал, это вроде даже не азы, особенно распаковка протов.
Gideon Vi пишет:
Можно обойтись плагином
У меня оля не видит плагины, выдает ошибку, что точка входа не обнаружена.

| Сообщение посчитали полезным:

Постил вчера тут гдето кусок позорного кода из ваших плагов. Модеры удалили. Чтоб походу самим не слиться

А может модер и автор этого говна. Много его, хз кто чего автор..

| Сообщение посчитали полезным:

Dr0p пишет: А может модер и автор

Hellspaun и Archer.
Я бы не сказал что бы говно, 98% задач эти плагины вполне решают. ( но молодежь разучилась думать самостоятельно )
Всегда говорил, даже при снятии aspack научиться без плагинов в чистом отладчике, что бы было был ясен сам процесс.

| Сообщение посчитали полезным:

F_a_u_s_t пишет:
даже при снятии aspack научиться без плагинов в чистом отладчике
А нафига плагины для аспака ? Там ведь нет антиотладки, дамп делаем petools, иат чиним через importres.

| Сообщение посчитали полезным:

kola1357 пишет: нафига плагины для аспака

Например дамп, что бы жопоруки разобрались без каких то утилит с очередным вопросом - как восстановить импорт ( это топ вопросов от которых уже тошнит ).
Разбрались что есть импорт, экспорт и сами секции с форматом, если это известно, то и аспр не доставляет проблем.

| Сообщение посчитали полезным: ClockMan

kola1357 пишет:
Я так и делал, открыл длл в блокноте

kola1357 пишет:
У меня оля не видит плагины, выдает ошибку, что точка входа не обнаружена.

Вы бы хоть читали, что пишут. hex. Качайте winhex, делайте поиск по строкам в asci.

| Сообщение посчитали полезным:

Gideon Vi пишет:
Вы бы хоть читали, что пишут. hex.
У меня есть hex, я говорю плагин, который вы выложили не работает, ошибка при запуске отладчика. Плагин как запустить ? Оля матерится на него.

| Сообщение посчитали полезным:

kola1357 пишет:
Оля матерится на него.
Заебала эта зечка, сколько раз ей говорили не матерится при детях....
kola1357
Вы сначало начните с малого, а то вы хотите всё быстро и сразу, такого не бывает.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: