Сабж. Подопытная программа, блокнот, при попытке открыть в ollydbg, дебаггер просто закрывается, бряк в настройках стоит на system entrypoint. Пробовал как с плагинами, так и без, и на чистой системе. Один фиг, закрывается. Помогло только извращение с заменой на ep кода на eb,fe и дальнейший аттач к процессу. Собстно вопрос - что с этим делать, патчить exe для загрузки как-то дико, имхо
Блокнот
http://www.sendspace.com/file/sn97zv

Да dermatolog понапихал дофига всякой гадости в свой vmprotect.
Может сабж в сборке DeFixed от FOFF летать будет.

Может сабж в сборке DeFixed от FOFF летать будет.
Летает, только не в ту сторону. Видимо все таки хитрая структура файла, сборки не помогают

у меня всё пучком.
походу Olly Shadow спасёт отца русской демократии).
...
кстати на еп становица а один фиг говорит потом что

A debugger has been found running in your system.
Please, unload it from memory and restart your program.

посмотрел - оля закрылась.
открыл лордпе - увидел "таблицу экспорта" неправильную, удалил её.
после этого пишет file corrupted (crc, видимо), но оля грузит.

посмотрел - оля закрылась.
открыл лордпе - увидел "таблицу экспорта" неправильную, удалил её.
после этого пишет file corrupted (crc, видимо), но оля грузит.
Ну да, экспорт там жуткий! Попробую удалить

у меня всё пучком.
походу Olly Shadow спасёт отца русской демократии).
...
кстати на еп становица а один фиг говорит потом что

A debugger has been found running in your system.
Please, unload it from memory and restart your program.
В том то и интрига ситуации - у меня не стопорилась ни на tls ни на ep ни на system breakpoint :)

>>Попробую удалить
только аккуратей удаляй - наверняка это где-нибудь при раскриптовке используются (это - в т.ч. как и сами значения в заголовке, так и, возможно, какая-то необычная реакция загрузчика )

Результат получен, тему можно закрыть

раз получен, то лучше расскажи, используется ли реакция загрузчика и какая она, если да?

Удаление в директориях адреса и размера экспорта помогли начать загружаться (значит бага есть, получается неописанная еще?!), однако я пошел все таки по пути использования eb,fe на EP

скажите, кому-нить удалось обойти антидебаггер?

http://www.wasm.ru/forum/viewtopic.php?id=32464

Простое закрытие ольги возможно только при вызове функции OutputDebugStringA так что не нее бряк.

ntldr с чего это вдруг? а бага FPU, ещё есть бага с парсингом импорта :) даже шеллкод можно внедрить.

Чтобы грузить ВМПрот под олькой, достаточно плагина StrongOD от китайцев(хотя там вроде был обнаружен рипнутый код из фантомки)

з.ы.: год назад точно так было...