eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Vicshann, asmerdev1, rmn (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› PhantOm plugin
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 01:43 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие


Ранг: 70.5 (постоянный)
Статус: Участник

Создано: 23 октября 2013 22:34 · Поправил: Dr0p New!
Цитата · Личное сообщение · #2

В аттаче тест и мотор мой(запустить нужно вначале nthdrv).

А сабж вообще никуда не пригоден, имхо.

[18:40:13] Indy vx: )
[18:41:46] Indy vx: фантом
[18:42:00] Indy vx: CloseHandle прошёл
[18:42:07] Indy vx: BlockInput облом
[18:42:15] Indy vx: :D
[18:42:41] Indy vx: QueryPerfCount облом
[18:43:07] Indy vx: ThreadHideFromDebugger облом
[18:43:46] Indy vx: ProcessDebugObjectHandle
[18:44:02] Indy vx: ProcessDebugPort
[18:44:14] Indy vx: ProcessDebugFlags
[18:44:33] Indy vx: SystemKernelDebuggerInformation
[18:44:54] Indy vx: NtQueryObject
[18:45:13] Indy vx: InheritedFromUniqueProcessId
[18:45:39] Indy vx: облом
[18:45:44] Indy vx: унылое говно
[18:45:54] Indy vx: щас стронг потестим
[18:47:21] Indy vx: CloseHandle облом
[18:47:32] Indy vx: дальше можно не тестить :D)
[18:47:51] Indy vx: знаете есчо плаги ?
[18:48:20] *: ой, их дохуя, но они эти лучшие из лучших (худших т.е.) )
[18:48:34] Indy vx: нда
[18:48:44] Indy vx: сорта говна

[19:27:07] *: 1001045B AC LODS BYTE PTR DS:[ESI] - AV
[19:28:35] *: главное на 7 робило )
[19:28:36] Indy vx: странно
[19:28:52] Indy vx: а откуда вызывается ?
[19:28:59] Indy vx: там есть пдб
[19:29:33] *: Snapshot
[19:29:47] Indy vx: а аргументы ?
[19:30:20] Indy vx: ApiInitialize()
[19:30:26] *: CPU Disasm
Address Hex dump Command Comments
10011D54 A3 98050310 MOV DWORD PTR DS:[10030598],EAX
10011D59 6A 00 PUSH 0
10011D5B 6A 00 PUSH 0
10011D5D 68 40010110 PUSH LDE
10011D62 50 PUSH EAX
10011D63 FF35 94050310 PUSH DWORD PTR DS:[10030594]
10011D69 E8 24E8FFFF CALL _Snapshot@20
[19:31:03] Indy vx: аа
[19:31:33] *: на 7 робит норм
[19:31:38] Indy vx: брякнитесь на 10011D69 и посморите что в аргуметах
[19:32:33] Indy vx: первый ссылка в системный диспетчер
[19:32:34] *: CPU Stack
Address Value ASCII Comments
0012F54C /00000000
0012F550 |008B0000 ‹
0012F554 |10010140 @ ; Flt.LDE
0012F558 |00000000
0012F55C |00000000
[19:32:38] Indy vx: второй на буфер
[19:32:59] Indy vx: понятно
[19:33:20] Indy vx: в опциях олли нужно добавить чтоб int 3 пропускала
[19:34:05] *: ага
[19:34:07] *: робит щас
[19:34:10] Indy vx:
[19:34:12] *: а с чем это связано?
[19:34:39] Indy vx: int 3 обрабатывается кодом для получения адреса возврата в диспетчер, далее он описывается в слепке
[19:34:54] Indy vx: надо будет поменять на другой фолт..
[19:35:13] *: т.е. не инт3?
[19:35:14] *: )
[19:35:18] Indy vx: да
[19:35:28] Indy vx: cli например
[19:36:01] Indy vx: поменял
[19:36:10] *: int1, sti, cli, hlt
[19:36:21] *: insb,insd,outsb,outsd
[19:36:25] *:

[19:54:15] Indy vx: ага
[19:54:28] Indy vx: я почти всё обработал
[19:54:42] Indy vx: не много осталось
[19:54:55] Indy vx: с отладочными привилегиями гемор
[19:55:36] Indy vx: если например тред крутится в цикле
[19:55:52] Indy vx: устанавливая и сбрасывая привилегию
[19:55:59] Indy vx: тогда при аттаче отладчика
[19:56:02] Indy vx: получится фейл
[19:56:18] Indy vx: это нужно мониторить подобно BlockInput()
[19:56:26] Indy vx: токо посложнее будет
[19:56:37] Indy vx: эта часть есчо не проработана до конца
[19:57:33] *: древнейшие методы вот http://www.symantec.com/connect/articles/windows-anti-debug-reference
[19:58:38] Indy vx: тоже что и у авера
[19:58:52] *: он любитель попиздить )
[19:59:03] Indy vx: понарипать он любитель
[19:59:09] *: ага
[19:59:10] *: :D
[19:59:16] Indy vx: мою методы с рпл спиздил сука
[19:59:17] *: авер сука
[19:59:22] Indy vx: да!
[19:59:38] *: в печь на уголь


Видос http://yadi.sk/d/PpoQffNqBUXJ9

{ Атач доступен только для участников форума } - Flt.zip


Ранг: 70.5 (постоянный)
Статус: Участник

Создано: 23 октября 2013 22:44 New!
Цитата · Личное сообщение · #3

SReg

Посмотрите плз что там были за инфоклассы, я в дельфях не шарю


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 24 октября 2013 00:40 New!
Цитата · Личное сообщение · #4

Dr0p запилите тоже самое без дрова, тогда будет профит


Ранг: 70.5 (постоянный)
Статус: Участник

Создано: 24 октября 2013 00:45 · Поправил: Dr0p New!
Цитата · Личное сообщение · #5

Hellspawn

Без дрова никак, можно релочить нэйтив и копию его юзать(я так часто делаю, даже в сабже), так что юзермодные патчи в этом случае идут лесом.

Ранг: 300.0 (мудрец)
Статус: Участник

Создано: 24 октября 2013 08:18 · Поправил: Veliant New!
Цитата · Личное сообщение · #6

Dr0p пишет:
Без дрова никак, можно релочить нэйтив и копию его юзать(я так часто делаю, даже в сабже), так что юзермодные патчи в этом случае идут лесом.

Смотря что патчить. Вплоть до 8 винды можно подменить адрес в PEB, который указывает на sysenter/int 2e, и тогда сколько не релоцируй ntdll, все равно будет дергаться этот адрес.

Code:
  1. 0040111C  |> \6A 00         PUSH 0                                   ; /pLength = NULL
  2. 0040111E  |.  6A 04         PUSH 4                                   ; |Bufsize = 4
  3. 00401120  |.  8D85 ECFCFFFF LEA EAX,[LOCAL.197]                      ; |
  4. 00401126  |.  50            PUSH EAX                                 ; |Buffer => OFFSET LOCAL.197
  5. 00401127  |.  6A 1F         PUSH 1F                                  ; |ProcessInfoClass = ProcessDebugFlags
  6. 00401129  |.  6A FF         PUSH -1                                  ; |ProcessHandle = INVALID_HANDLE_VALUE
  7. 0040112B  |.  E8 DA000000   CALL <JMP.&ntdll.ZwQueryInformationProce ; \NTDLL.ZwQueryInformationProcess
  8. 00401130  |.  83BD ECFCFFFF CMP DWORD PTR SS:[LOCAL.197],0
  9. 00401137  |.  75 01         JNE SHORT 0040113A <<<
  10. 00401139  |.  CC            INT3

И что вот это? Читай мануалы, там не 0 если отладчик присутствует, так же как и у ProcessDebugPort

Ранг: 53.9 (постоянный)
Статус: Участник

Создано: 24 октября 2013 08:21 New!
Цитата · Личное сообщение · #7

Veliant пишет:
Смотря что патчить. Вплоть до 8 винды можно подменить адрес в PEB, который указывает на sysenter/int 2e, и тогда сколько не релоцируй ntdll, все равно будет дергаться этот адрес.

Так это актуально только для WOW64


Ранг: 70.5 (постоянный)
Статус: Участник

Создано: 24 октября 2013 11:26 · Поправил: Dr0p New!
Цитата · Личное сообщение · #8

Veliant

> Вплоть до 8 винды можно подменить адрес в PEB, который указывает на sysenter/int 2e

Это что то новое

Быть может вы имеете ввиду wow, тогда какие есчо сисколы. Да и на x86 при трейсе без ядра не получится фикс например регистров после сискола:

Code:
  1. KiServiceExit():
  2.  
  3.          mov edx,[esp]+TsExceptionList
  4.          ...
  5.          mov ecx,[esp]+TsPreviousPreviousMode
  6.          ...
  7.  
  8. _KiSystemCallExit:
  9.          iretd
  10.  
  11. _KiSystemCallExit2:
  12.          test D[esp + 8],EFLAGS_TF ; rEFlags
  13.          jnz _KiSystemCallExit         ; TF
  14.          pop edx                               ; rEip
  15.          add esp,4                              ; rCs: IA32_SYSENTER_CS
  16.          and D[esp],NOT EFLAGS_INTERRUPT_MASK
  17.          popfd
  18.          pop ecx                               ; rEsp
  19.          sti                        ; STI отлаживает прерывания до исполнения следующей инструкции.
  20.          sysexit                               ; Не изменяет флажки.
  21.  
  22.  Если процессор поддерживает фастколлы и они разрешены(отключаются в Session Manager\Kernel\FastSystemCallDisable), а это 
  23.  фактически всегда так, то результат исполнения сервиса может служить для обнаружения трассировки. Эти значения необходимо 
  24.  скорректировать.  
  25. '


> И что вот это? Читай мануалы, там не 0 если отладчик присутствует, так же как и у ProcessDebugPort

А что не правильно собственно ?

Code:
  1. ; ~~~
  2.          invoke ZwClose, 0BADC0DEH
  3. ; ~~~
  4.          invoke CreateEvent, 0, 0, 0, 0
  5.          mov ebx,eax
  6.          invoke SetHandleInformation, Ebx, 10B, HANDLE_FLAG_PROTECT_FROM_CLOSE
  7.          invoke ZwClose, Ebx
  8. ; ~~~
  9.          invoke BlockInput, TRUE
  10.          mov ebx,eax
  11.          invoke BlockInput, FALSE
  12.          xor eax,ebx
  13.          .if Eax
  14.                  %BREAK
  15.          .endif
  16. ; ~~~
  17.          invoke FindWindow, addr $Win, NULL
  18.          .if Eax
  19.                  %BREAK
  20.          .endif
  21. ; ~~~
  22.          invoke ZwQueryPerformanceCounter, addr PerfCount1, NULL
  23.          invoke ZwQueryPerformanceCounter, addr PerfCount2, NULL
  24.          mov eax,D[PerfCount2]
  25.          sub eax,D[PerfCount1]
  26.          mov edx,D[PerfCount2 + 4]
  27.          sbb edx,D[PerfCount1 + 4]
  28.          .if (!Zero?) || (Eax >= 10)
  29.                  %BREAK
  30.          .endif
  31. ; ~~~
  32.          invoke ZwSetInformationThread, NtCurrentThread, ThreadHideFromDebugger, NULL, 0
  33. ; ~~~
  34.          invoke ZwQuerySystemInformation, SystemKernelDebuggerInformation, addr KdInfo, sizeof(SYSTEM_KERNEL_DEBUGGER_INFORMATION), NULL
  35.          .if !SYSTEM_KERNEL_DEBUGGER_INFORMATION.DebuggerNotPresent[KdInfo]
  36.                  %BREAK
  37.          .endif
  38. ; ~~~
  39.          invoke ZwQueryInformationProcess, NtCurrentProcess, ProcessDebugObjectHandle, addr DbgInfo, sizeof(HANDLE), NULL
  40.          .if DbgInfo
  41.                  %BREAK
  42.          .endif
  43. ; ~~~
  44.          invoke ZwQueryInformationProcess, NtCurrentProcess, ProcessDebugPort, addr DbgInfo, sizeof(HANDLE), NULL
  45.          .if DbgInfo
  46.                  %BREAK
  47.          .endif
  48. ; ~~~
  49.          invoke ZwQueryInformationProcess, NtCurrentProcess, ProcessDebugFlags, addr DbgInfo, sizeof(HANDLE), NULL
  50.          .if !DbgInfo
  51.                  %BREAK
  52.          .endif
  53. ; ~~~
  54.          invoke ZwQueryObject, 0, ObjectAllTypesInformation, addr ObInfo, 10000H, NULL
  55.          test eax,eax
  56.          jnz Fleave
  57.          lea esi,ObInfo
  58.          mov edi,D[esi]   ; N
  59.          add esi,4
  60.          assume esi:POBJECT_TYPE_INFORMATION
  61.          .repeat
  62.                  and esi,NOT(11B)         ; Align 4
  63.                  invoke RtlCompareUnicodeString, Esi, addr DbgObjectU, TRUE
  64.                  test eax,eax
  65.                  movzx ecx,UNICODE_STRING.MaximumLength[esi]
  66.                  .if Zero? && [Esi].TotalNumberOfObjects
  67.                         %BREAK
  68.                  .endif
  69.                  mov esi,UNICODE_STRING.Buffer[esi]
  70.                  dec edi
  71.                  lea esi,[esi + ecx + 11B]
  72.          .until Zero?
  73. ; ~~~
  74.          invoke ZwQueryInformationProcess, NtCurrentProcess, ProcessBasicInformation, addr PsInfo, sizeof(PROCESS_BASIC_INFORMATION), NULL
  75.          invoke GetShellWindow
  76.          lea ecx,Pid
  77.          invoke GetWindowThreadProcessId, Eax, Ecx
  78.          mov eax,Pid
  79.          .if PsInfo.InheritedFromUniqueProcessId != Eax
  80.                  %BREAK
  81.          .endif
  82.          invoke ZwQuerySystemInformation, SystemFlagsInformation, addr Flags, sizeof(ULONG), NULL ; SYSTEM_FLAGS_INFORMATION
  83.          invoke ZwSetSystemInformation, SystemFlagsInformation, addr Flags, sizeof(ULONG)
  84.          .if !Eax
  85.                  %BREAK
  86.          .endif
  87. ; ~~~
  88.          invoke Sleep, 200
  89. ; ~~~

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 16 мая 2014 21:06 New!
Цитата · Личное сообщение · #9

Установил этот плагин. Не работает опция "protect DRx", при установке этой опции хард брейки продолжают обнаруживаться. Даже при включенной галочке программа без бряков отказывается запускаться.

Вот скрин моих настроек и ошибки http://floomby.ru/s2/2W2FTK
Версия 1.85 у меня.

Ранг: 116.8 (ветеран)
Статус: Участник

Создано: 16 мая 2014 21:49 New!
Цитата · Личное сообщение · #10

kola1357
проверьте строчку в ollydbg.ini, значение должно быть = 1
Code:
  1. Use hardware breakpoints to step=1

ну или используйте сочетание фантика со стронгом
поновее ScyllaHide Anti-Anti-Debug попробуйте

| Сообщение посчитали полезным: gloom


Ранг: 14.4 (новичок)
Статус: Участник

Создано: 16 мая 2014 21:59 New!
Цитата · Личное сообщение · #11

Jaa пишет:
проверьте строчку в ollydbg.ini, значение должно быть = 1

У меня 0 было, исправил, не помогло.
Да тут еще моя прога упакована telock 0.98, а он вроде использует отладочные регистры под свои потребности, я так понял установка галочки в плагине просто нарушает его работу.
Но хотелось бы узнать, возможно ли пользоваться хард бряками, если прога сама использует отладочные регистры ?

Про стронг там ведь нет защиты от обнаружения хард бряков. Плагин Scylahide поставил, мне кажется довольно хороший, багов пока в нем не обнаруживал.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 мая 2014 22:10 New!
Цитата · Личное сообщение · #12

не помню точно, но вроде юзать их не выйдет еще в обсиде такая же хрень.

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 18 мая 2014 12:15 New!
Цитата · Личное сообщение · #13

Hellspawn пишет:
вроде юзать их не выйдет

Тогда нужно сделать предупреждение пользователю при выборе этой галочки. Да кстати а почему галки про драйвер, последние внизу нельзя выбрать, я на них нажать не могу, они вроде enabled=false.

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 13 июня 2014 00:35 New!
Цитата · Личное сообщение · #14

У меня оля с плагином Phantom стала намертво зависать, даже диспетчер задач открыть невозможно, только перезагрузка помогает. Глюк происходит при включенной галочке Hook RDTSC, остальные галочки сняты, других антиатладочных плагинов не установлено. Система вин7 32 бита. Подскажите, можно ли это как-то исправить ? Я отлаживаю проги, пакованные аспротектом, а он детектит оля через RDTSC, поэтому эта галочка нужна, но тогда оля зависает часто.

Ранг: 286.0 (наставник)
Статус: Модератор
CrackLab

Создано: 13 июня 2014 09:17 New!
Цитата · Личное сообщение · #15

kola1357 пишет:
пакованные аспротектом, а он детектит оля через RDTSC

В аспре(если мне не изменяет память) весь антидебаг это IsDebuggerPresent.

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 13 июня 2014 11:01 New!
Цитата · Личное сообщение · #16

SReg пишет:
весь антидебаг это IsDebuggerPresent.

Нет, у меня программа не запускается только с галочкой IsDebuggerPresent.

Добавлено спустя 1 час 11 минут
Ну а по поводу глюков в плагине с RDTSC довольно серьезных кстати, что скажет разработчик ?
Проблему нужно решать ведь.

Добавлено спустя 2 часа 42 минуты
И еще один глюк в Phantom обнаружил. При установке опции "Custom handler exception", программа при загрузке в отладчик не останавливается на точке входа, а сразу запускается. При чем появляется именно окошко программы, а не сообщение об обнаружении отладчика. А почему так происходит, эта галочка вроде скрывает от обнаружения, но программа не тормозит на точке входа.


Ранг: 1104.4 (!!!!)
Статус: Участник

Создано: 13 июня 2014 14:19 New!
Цитата · Личное сообщение · #17

SReg пишет:
В аспре(если мне не изменяет память) весь антидебаг это IsDebuggerPresent.


нет

Ранг: 14.4 (новичок)
Статус: Участник

Создано: 14 июня 2014 10:54 New!
Цитата · Личное сообщение · #18

А автор плагина тут бывает ? Хочется по поводу бага услышать пояснения.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 15 июня 2014 20:12 New!
Цитата · Личное сообщение · #19

бывает, канешн. версия с драйвером не поддерживается нужно использовать последнюю версию.


Ранг: 1104.4 (!!!!)
Статус: Участник

Создано: 16 июня 2014 02:27 New!
Цитата · Личное сообщение · #20

Hellspawn пишет:
нужно использовать последнюю версию.


можно подумать, что она поддерживается

| Сообщение посчитали полезным: _FUCKER_



Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 25 июня 2014 09:15 New!
Цитата · Личное сообщение · #21

Dr0p

От модератора: Забанен за неоднократное оскорбление участников форума да и просто достал уже, отдохни пару дней.

Gideon Vi

проект перестал был интересен возможно под 2-ую ольку перепишу.


Ранг: 1104.4 (!!!!)
Статус: Участник

Создано: 27 июня 2014 10:32 New!
Цитата · Личное сообщение · #22

Hellspawn пишет:
отдохни пару дней


пару лет, пожалуйста. Дичайше утомил любитель мухоморов ректально.

Hellspawn пишет:
проект перестал был интересен


объяснимо. Досадно только, что молодые и дерзкие эстафету принять не могут.

Ранг: 10.9 (новичок)
Статус: Участник

Создано: 27 июня 2014 13:34 New!
Цитата · Личное сообщение · #23

У меня вопрос не совсем по части плагина, но по сути косвенно с ним связанный.Собственно, на win7 x64 плагин работает, но единственное, что драйвер, который находится в ресурсах плага, не стартует (лог показывает результат =-1, то есть он не загружен).Отсюда назрел вопрос, собственно, как можно скрыть отладку от RDTSC не driver-based методом и какие проты до сих пор его юзают ?


Ранг: 526.3 (!)
Статус: Участник
оптимист

Создано: 27 июня 2014 13:56 New!
Цитата · Личное сообщение · #24

ThugboyZ пишет:
который находится в ресурсах плага, не стартует (лог показывает результат =-1, то есть он не загружен)

Дрова обкатаны только для WinXP,
ThugboyZ пишет:
как можно скрыть отладку от RDTSC

Юзай виртуальную тачку с хрюшой и непарь себе мозг
ThugboyZ пишет:
какие проты до сих пор его юзают

Themida,VMprot

| Сообщение посчитали полезным: ThugboyZ


Ранг: 14.4 (новичок)
Статус: Участник

Создано: 27 июня 2014 16:22 · Поправил: kola1357 New!
Цитата · Личное сообщение · #25

ThugboyZ пишет:
как можно скрыть отладку от RDTSC не driver-based методом и какие проты до сих пор его юзают ?

Asprotect использует эту технику еще, можешь попробовать еще Olly Advanced, там представлена такая зашита.
Ну и тоже советую использовать виртуальную машину с хп сп2.
На 7, а особенно на 64 битной, плагины глючат сильно, да и сам отладчик, но это понятно, он разрабатывался для 32 битных систем.

Ранг: 35.3 (посетитель)
Статус: Участник

Создано: 23 октября 2014 10:42 New!
Цитата · Личное сообщение · #26

Ошибка в плагине.
Microsoft(R) Windows(R) Server 2003, Enterprise Edition
Version 5.2.3790 Service Pack 2 Build 3790

Message= [PhantOm_error] > Unable hook GetTickCount

GetTickCount
77E619D1 > /EB 07 JMP SHORT kernel32.77E619DA
77E619D3 |F3: PREFIX REP: ; Superfluous prefix
77E619D4 |90 NOP
77E619D5 |90 NOP
77E619D6 |90 NOP
77E619D7 |90 NOP
77E619D8 |90 NOP
77E619D9 |90 NOP
77E619DA \8B0D 2403FE7F MOV ECX,DWORD PTR DS:[7FFE0324]
77E619E0 8B15 2003FE7F MOV EDX,DWORD PTR DS:[7FFE0320]
77E619E6 3B0D 2803FE7F CMP ECX,DWORD PTR DS:[7FFE0328]
77E619EC ^ 75 E5 JNZ SHORT kernel32.77E619D3
77E619EE A1 0400FE7F MOV EAX,DWORD PTR DS:[7FFE0004]
77E619F3 F7E2 MUL EDX
77E619F5 C1E1 08 SHL ECX,8
77E619F8 0FAF0D 0400FE7F IMUL ECX,DWORD PTR DS:[7FFE0004]
77E619FF 0FACD0 18 SHRD EAX,EDX,18
77E61A03 C1EA 18 SHR EDX,18
77E61A06 03C1 ADD EAX,ECX
77E61A08 C3 RETN

Ранг: 376.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 23 октября 2014 17:25 New!
Цитата · Личное сообщение · #27

neprovad пишет:
Microsoft(R) Windows(R) Server 2003, Enterprise Edition
Version 5.2.3790 Service Pack 2 Build 3790

Message= [PhantOm_error] > Unable hook GetTickCount

У меня на 2k3 SP2 GetTickCount фантомом тоже не хукается. Впрочем, это не шибко критично-жить можно.


Ранг: 56.8 (постоянный)
Статус: Участник

Создано: 6 апреля 2016 12:42 New!
Цитата · Личное сообщение · #28

А от FindWindow он не прячет? Ольга 1.10, фантик 1.85. И есть ли возможность добавить?


Ранг: 287.3 (наставник)
Статус: Участник

Создано: 6 апреля 2016 13:20 New!
Цитата · Личное сообщение · #29

-Sanchez- пишет:
А от FindWindow он не прячет?

Внимательней надо быть - опция "change Olly caption"


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 6 апреля 2016 13:47 New!
Цитата · Личное сообщение · #30

некропостеры, меняет только заголовок окна, для остального можно просто пропатчить олли на предмен смены имен классов, там не сложно.


Ранг: 56.8 (постоянный)
Статус: Участник

Создано: 6 апреля 2016 14:06 New!
Цитата · Личное сообщение · #31

А что сразу некропостеры? А остальные плагины будут работать после патча? Я, помнится, один раз так напатчил, что половина плагинов и скрипты не работали
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . >>
 eXeL@B —› Софт, инструменты —› PhantOm plugin

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS