Русский / Russian English / Английский

Сейчас на форуме: Vicshann, morgot, daFix, bartolomeo, Alf (+7 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› tElock и Olly
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Статус: Участник

Создано: 16 сентября 2004 11:15 New!
Цитата · Личное сообщение · #1

Хотел бы спросить. Вот только осваиваю Olly и мне интересно: а есть ли какой-нить хитрый способ по поиску OEP subja через Olly? Или только "в лоб" через все SEH?



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 16 сентября 2004 11:28 New!
Цитата · Личное сообщение · #2

А чё влоб то, бряки ведь никто не отменял ;)



Ранг: 0.0 (гость)
Статус: Участник

Создано: 16 сентября 2004 11:41 New!
Цитата · Личное сообщение · #3

Asterix, ну поделись опытом тогда плиз



Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 16 сентября 2004 12:02 New!
Цитата · Личное сообщение · #4

Man1ac
bioworm.narod.ru/reversing/telock.html
Скажи спасибо: bi0w0rM'у



Ранг: 1.0 (гость)
Статус: Участник

Создано: 16 сентября 2004 12:06 New!
Цитата · Личное сообщение · #5

и плугин с wasm.ru скачай



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 16 сентября 2004 13:00 New!
Цитата · Личное сообщение · #6

Просто запусти под Olly прогу, полностью, и потом поищи в районе
EP(в tElock 0.99 там где pushad) будет jmp OEP, так будет проще
всего ;)



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 16 сентября 2004 13:01 New!
Цитата · Личное сообщение · #7

ЗЫ: tElock 0.99 ищет и убивает Olly по классу окна, так что нужно ещё пропатчить сам OllyDbg.exe



Ранг: 0.0 (гость)
Статус: Участник

Создано: 16 сентября 2004 14:32 New!
Цитата · Личное сообщение · #8

bi0w0rM, Asterix и nice - спасибо!!!



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 16 сентября 2004 14:34 New!
Цитата · Личное сообщение · #9

> и плугин с wasm.ru скачай

А вобще можно импорт чистый у tElock'а отодрать, как это сделать не раз писал Голова или раз, но короче это есть в статье на uinc.ru и в форуме reng.ru если конечно не удалено вместе со старой базой времён артуриков, у последних tElock'ов импорт и так без проблем Импреком берётся без плагинов.



Ранг: 1.0 (гость)
Статус: Участник

Создано: 17 сентября 2004 11:59 New!
Цитата · Личное сообщение · #10

Asterix пишет:
последних tElock'ов импорт и так без проблем Импреком берётся без плагинов

это как? через Hook?



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 17 сентября 2004 13:15 New!
Цитата · Личное сообщение · #11

bi0w0rM
Там есть момент когда таблица импорта в памяти целая лежит, нужно отловить момент и сдампить секцию импорта целиком.



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 17 сентября 2004 13:28 New!
Цитата · Личное сообщение · #12

Мля.., я не правильно прочёл вопрос и не то ответил %)

Я последовательно применяю дизасм, хук, трап флаг - что именно там даёт результат не помню, но знаю точно что плагинами трейсерами не пользовался



Ранг: 1.0 (гость)
Статус: Участник

Создано: 17 сентября 2004 15:23 New!
Цитата · Личное сообщение · #13

Asterix пишет:
Я последовательно применяю дизасм, хук, трап флаг - что именно там даёт результат не помню, но знаю точно что плагинами трейсерами не пользовался

а дизасм не применить кста



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 17 сентября 2004 17:29 New!
Цитата · Личное сообщение · #14

> а дизасм не применить кста

Почему?
Ну ладно я проверю, где-то у меня валялось пару- тройку кейгенов от TMG ;)



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 17 сентября 2004 19:02 New!
Цитата · Личное сообщение · #15

bi0w0rM
Я посмотрел, импорт нормально восстанавливается через "трап флаг" под SoftIce.
Под Olly что-то не взросло.



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 18 сентября 2004 05:15 New!
Цитата · Личное сообщение · #16

Кста, а Olly умеет detach'ится от процесса в XP+ ??
Если да, то можно было бы засуспендить процесс любым
способом, а потом (от)detach'ится, и тогда ImpRec(Трап флаг)
должен сработать.
Если в Olly нет такой фичи, могу прикрутить к плагину..



Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 18 сентября 2004 05:34 New!
Цитата · Личное сообщение · #17

Asterix
Да такая ф-ия не помешает!



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 18 сентября 2004 05:52 New!
Цитата · Личное сообщение · #18

> Да такая ф-ия не помешает!

Хорошо, сделаю.

Только что глянул, есть такой плагин OllyHelper там эта фича есть, кто-то раньше додумался прикрутить, но правда тот плагин безобразно большой =)



Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 18 сентября 2004 07:05 New!
Цитата · Личное сообщение · #19

Asterix
А можно ссылочку?
или вышли на мыло, а я выложу.



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 18 сентября 2004 07:48 New!
Цитата · Личное сообщение · #20

nice
на экзетулзе в топике лежит..



Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 18 сентября 2004 08:15 New!
Цитата · Личное сообщение · #21

Asterix
НЕ дают качать



Ранг: 1.0 (гость)
Статус: Участник

Создано: 18 сентября 2004 12:13 New!
Цитата · Личное сообщение · #22

Asterix пишет:
Ну ладно я проверю, где-то у меня валялось пару- тройку кейгенов от TMG ;)

потому что там переходники такие:
mov eax,addr
inc eax
push [eax]
ret

inc eax трейсер level 1 не выполняет



Ранг: 1.0 (гость)
Статус: Участник

Создано: 18 сентября 2004 12:14 New!
Цитата · Личное сообщение · #23

а фсе таки плугин быстрее вашего трап флага будет




Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 18 сентября 2004 13:40 New!
Цитата · Личное сообщение · #24

хмм... какой длинный топик НЕОЧЁМ для распаковки телока импрек вообще нах не нужен, и об этом астерикс сказал в самом начале топика... какая разница что юзать - дизасм, хук, трап флаг или там плагин, если это всё ненадо юзать ;)



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 18 сентября 2004 16:44 New!
Цитата · Личное сообщение · #25

Mario555
Через ImpRec быстрее будет, однако ;)




Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 19 сентября 2004 03:06 New!
Цитата · Личное сообщение · #26

хз, быстрее - если он уже запущен, а так - пока его откроешь, пока в нём кнопочки понажимаешь...
да и полюбому если есть возможность восстановить origIT - её надо восстанавливать, ибо это правильнее и красивее ;)
Вот например в svkp после восстановления origIT (правда там для восстановления прожку надо писать...) не надо ничего определять вручную и с эмуляцией никаких проблем нет, т.к. в восстановленной IT соодержатся оригинальные названия функций из special.dll (всякие SVKP_killDebugger, SVKP_CheckTrial и т.п.), а сама special.dll лежит в папке с протектором, там на всех функциях ессно заглушки, и нужно всего один раз переделать эту длл под эмуляцию всех (или только необходимых) функций и усё )


 eXeL@B —› Основной форум —› tElock и Olly

Видеокурс ВЗЛОМ