я собственно хотел спросить про dll-ку к OllyDebugger HideDebugger.
Я пытаюсь запустить HideDebugger 1.2.4 с Olly 1.10/
При загрузке дебагера в логе пишется <an error occured>
и <Failed to apply protection against FindWindow/EnumWindows>
Не могли бы вы рассказать что надо сделать, чтобы оно заработало ?
(мож ему что то мешает, там касперский или outpost,к примеру?) и, я очень извеняюсь, в темах про скрытие дебаггера говорят что надо переименовать файл ollydbg.exe и пропатчить. Не подскажете что патчить ? (ну в самом дебаггере надо убрать стова ollydbg или что то еще ?) (и если несложно примерно как патчить,т.е. UltraEdit-ом строки поменять ?)

о-- и еще в плагине есть пункт Detach -- что он делает ? (выключает плагин ?)
о-- и еще, если загруженную прогу запуститb (F9) -- HideDebugger продолжает скрывать Olly, или оно работает только в режиме трассировки ?

(очень извеняюсь за глупые вопросы, но очень хочется разобратсья !)

| Сообщение посчитали полезным:

1) скачать OllyDbg с оф сайта www.ollydbg.de/
2) патчить нужно класс окна, поиск в ollydbg.exe строки OLLYDBG оканчивающейся нулем
меняем на что-то вроде heheDBG или что-то другое, не забываем что менять размер строки нельзя
3) Detach если включен позволяет отдетачить дебуггер от запущенного приложения, но
работает только под XP и 2k3(наверно, не пробовал)
только детачить нужно с умом, процесс должен быть зациклен, засуспенден или отпущен
4) HideDebugger работает всегда, при трассировке и запуске по F9

надеюсь на все вопросы ответил %)

| Сообщение посчитали полезным:

Всё понятно, большое спасибо, можно закрывать !

| Сообщение посчитали полезным:

Pavel_ пишет:
и <Failed to apply protection against FindWindow/EnumWindows>
Не могли бы вы рассказать что надо сделать, чтобы оно заработало ?

да оно вроде и работает, только пишет дескать класс окна у тебя уже пропатчен
или заголовок... вроде так

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
да оно вроде и работает, только пишет дескать класс окна у тебя уже пропатчен
или заголовок... вроде так

класс окна плагинам не доступен, т.к. грузятся они после создания окна Олли,
поэтому только патчить вручную
А насчет HideDebugger, если ругается значит что-то ему не нравится, часто
это может быть из-за того что происходит конфликт плагинов(кто-то спер
мою идею и таким же образом убирает заголовок окна ;) или юзается нестандартный
OllyDbg(всякие там Olly XP)

| Сообщение посчитали полезным:

Asterix пишет:
это может быть из-за того что происходит конфликт плагинов(кто-то спер
мою идею и таким же образом убирает заголовок окна ;) или юзается нестандартный
OllyDbg(всякие там Olly XP)
Конфликт плагинов стопудоф, нахер сносить всю кучу плагинов из различных паков, создаваемых не особо умными товарищами, оставить 3-4 нужных и спокойно юзать.

| Сообщение посчитали полезным:

Точно, был OllyXP Спасибо, работает суперски ! А насчет патча в реальном времени:
есть такая хренька WindowJuggler ей можно прибить .... имя окошка olly

| Сообщение посчитали полезным:

Pavel_ пишет:
А насчет патча в реальном времени:
есть такая хренька WindowJuggler ей можно прибить .... имя окошка olly

вообще-то "Protect against: FindWindow/EnumWindows" именно скрытием имени окна и занимается,
или опять не работает?

Не путай класс и имя, класс окна в рантайме, если окно с классом уже создано, не скрывается,
поэтому и патчат его вручную в exe'шнике OllyDbg

| Сообщение посчитали полезным:

Asterix пишет:
2) патчить нужно класс окна, поиск в ollydbg.exe строки OLLYDBG оканчивающейся нулем
меняем на что-то вроде heheDBG или что-то другое

Строка по адресу B6018 ?

| Сообщение посчитали полезным:

0xy пишет:
Строка по адресу B6018 ?

Да

Или если VA то
.data:004B7218 4F 4C 4C 59 44 42 47 00 aOllydbg_2 db 'OLLYDBG',0

| Сообщение посчитали полезным:

Странно: взял девственную Олю с хомяка, поправил класс, плугин вроде заюзал (а как можно проверить, заюзал ли?)
Но Арм ее демонстративно палит (Win 9x) Мож чет не так делаю?

Вот эта прога с Армой:


d631_25.05.2006_CRACKLAB.rU.tgz - iopuspwd.arj

| Сообщение посчитали полезным:

Хвост архива:

0775_25.05.2006_CRACKLAB.rU.tgz - iopuspwd.a01

| Сообщение посчитали полезным:

0xy пишет:
Win 9x

боюсь проблемы в этом =D

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

HideDebugger на win9x даже не загрузится, т.к. проверяет в какой он системе запускается,
но если прога ищет отладчик только по классу окна то и в 9x ручное переименование поможет

так что советую 2k или XP

| Сообщение посчитали полезным:

А как же работать в 9x? Есть какая-то альтернатива? IsDebug тоже не прокатил

PS
А имя окна где в файле живет? Может тоже сразу пропатчить?

| Сообщение посчитали полезным:

а в 9x все-равно нормально не поотлаживаешь защищенное файло, так что
пустые заботы

| Сообщение посчитали полезным:

Asterix пишет:
а в 9x все-равно нормально не поотлаживаешь защищенное файло, так что
пустые заботы

ну ну не надо ещё как можно отлаживать..
OllyGhost - хучит исдебаггерпрезент.. а вообще в 9x можно захучить почти всё..
есть недокументированная ф-ия из кернела, которая делает доступной для записи
пространство системных библ...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Да, если заюзать OllyGhost, то прога не материт дебуг... А просто падает

| Сообщение посчитали полезным:

0xy пишет:

Да, если заюзать OllyGhost, то прога не материт дебуг... А просто падает

ну значит не судьба может она ещё как то ольку палит...
возьми TRW2000 =)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Olly на win9x это артефакт
Я ушел с 9х когда после апгрейда железа обнаружил что на материнку нет дров под 9х,
с тех пор сижу на ХР и не особенно жалею

| Сообщение посчитали полезным: