Русский / Russian English / Английский

Сейчас на форуме: Walhther, SpawN3222 (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› Get approximate OEP
. 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение


Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 14 июля 2009 14:39 · Поправил: DillerInc New!
Цитата · Личное сообщение · #1

Назначение, я думаю, понятно из названия.

* Программа поддерживает как x86, так и x64 исполняемые файлы. Работа программы была протестирована на всех операционных системах, указанных в соответствующем nfo.
* Программа позволяет работать с DLL. Для этого можно использовать либо встроенный auxiliary dll loader, либо родной загрузчик конкретной библиотеки, если таковой имеется.
* Программа требует прав администратора при старте.

Последнюю на данный момент версию можно скачать с нашего сайта по следующей ниже ссылке:

GeTaOEP 2.0 beta 9




Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 14 июля 2009 14:47 New!
Цитата · Личное сообщение · #2

Нужная вещь, спасибо за обновление




Ранг: 672.3 (! !)
Статус: Участник
CyberMonk

Создано: 14 июля 2009 15:04 New!
Цитата · Личное сообщение · #3

тут использован тот самый эффективный метод поиска оеп ?




Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 14 июля 2009 15:17 New!
Цитата · Личное сообщение · #4

mak пишет:
тут использован тот самый эффективный метод поиска оеп ?

...эффективный метод(если ты про то) относится чисто к securom'у.Здесь же используется,так сказать,generic метод.




Ранг: 756.3 (! !)
Статус: Участник
Student

Создано: 14 июля 2009 16:36 · Поправил: Isaev New!
Цитата · Личное сообщение · #5

ну сделали бы memo или 2 editbox (чтобы не переписывать циферки постоянно)
не так же ведь и трудно
и ещё косяк, не выгружает подопытного
он висит и грузит на 50-99% проц (WinXP SP2)




Ранг: 310.0 (мудрец)
Статус: Участник
Advisor

Создано: 14 июля 2009 16:42 New!
Цитата · Личное сообщение · #6

DillerInc пишет:
Выкладываю обновление

Фенькс, погоняем...




Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 14 июля 2009 17:25 New!
Цитата · Личное сообщение · #7

Isaev пишет:
ну сделали бы memo или 2 editbox (чтобы не переписывать циферки постоянно)

...если так будет удобней,то можно сделать.
Isaev пишет:
он висит и грузит на 50-99% проц

...тут так и задумано.Может кто-то захочет потрогать зацикленный образ в памяти,сдампить его,например.
Однако,если народ будет настаивать,то можно оформить иначе.




Ранг: 756.3 (! !)
Статус: Участник
Student

Создано: 14 июля 2009 17:27 New!
Цитата · Личное сообщение · #8

DillerInc пишет:
Может кто-то захочет потрогать зацикленный образ в памяти,сдампить его,например.

можно кнопочку сделать, типа зациклить, а по-умолчанию выгружать




Ранг: 672.3 (! !)
Статус: Участник
CyberMonk

Создано: 14 июля 2009 21:50 New!
Цитата · Личное сообщение · #9

DillerInc Какая нибудь особенность от других генериков ? Просто интересно , я так понял там что то новое




Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 14 июля 2009 22:46 New!
Цитата · Личное сообщение · #10

mak, всё на самом деле очень примитивно
Я вроде когда-то говорил тут на форуме,по какому принципу работает программа.



Ранг: 101.0 (ветеран)
Статус: Участник

Создано: 14 июля 2009 23:57 New!
Цитата · Личное сообщение · #11

На одной из жертв "приблизительным OEP" считалось место сразу после GetStartupInfoA. Это типа один из методов обнаружения? Ставим бряк на стандартные входные функи и смотрим адрес возрата?



Ранг: 309.8 (мудрец)
Статус: Участник

Создано: 15 июля 2009 00:12 New!
Цитата · Личное сообщение · #12

Тогда уж лучше поставить хук на конец GetModuleHandle и сверять eax со своим ImageBase, но всё это идиотизм, т.к. практический толк от такого софта стремится к нулю




Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 15 июля 2009 00:48 New!
Цитата · Личное сообщение · #13

progopis пишет:
Ставим бряк на стандартные входные функи и смотрим адрес возрата?

...я же говорил,что всё очень просто.
SLV пишет:
Тогда уж лучше поставить хук на конец GetModuleHandle и сверять eax со своим ImageBase

...бред.Будешь тогда работать только на определённых билдах kernel32.Далее причём здесь свой ImageBase?Прот сам может сотни раз вызывать функцию следующим образом:
invoke GetModuleHandle, 0
SLV пишет:
но всё это идиотизм, т.к. практический толк от такого софта стремится к нулю

...звёзды мне подсказывают,что многие с тобой не согласятся.



Ранг: 309.8 (мудрец)
Статус: Участник

Создано: 15 июля 2009 00:53 New!
Цитата · Личное сообщение · #14

DillerInc, давай с фактами, обоснуй почему будет работать "на определённых билдах kernel32". Разве PEB так часто меняется?
> Прот сам может сотни раз вызывать
и что дальше? Каждое такое место будет потенциально близким к oep.



Ранг: 101.0 (ветеран)
Статус: Участник

Создано: 15 июля 2009 09:15 New!
Цитата · Личное сообщение · #15

SLV пишет:
т.к. практический толк от такого софта стремится к нулю

дык не юзай. Есть программы вообще с одним MessageBoxA и сам прот забирает N*4 байт из стэка - любой универсальный метод идёт лесом.



Ранг: 20.5 (новичок)
Статус: Участник

Создано: 15 июля 2009 09:34 · Поправил: coolangel New!
Цитата · Личное сообщение · #16

SLV пишет:
т.к. практический толк от такого софта стремится к нулю


Главное преимущество этой тулзы - она проходит почти все антиотладочные приемы и добирается до OEP.

Вместо пустых слов, приведите лучше пример, где тулза не сработает и толк будет стремится к нулю Таким образом поможете автору развивать тулзу.



Ранг: 284.8 (наставник)
Статус: Участник

Создано: 15 июля 2009 09:57 New!
Цитата · Личное сообщение · #17

DillerInc
Взял тестовую прогу UnPackMe_ExeCryptor2.1.20.j.exe запустил, OEP вприципе верно нашел, там как раз спертый код пропустил. после мессаджа твоя прога закрылась, а тестовая прога осталась висеть, при этом жрать 50% проца ( это хорошо что у меня 2-х ядерный ). видимо плохо киляешь процесс.



Ранг: 20.5 (новичок)
Статус: Участник

Создано: 15 июля 2009 10:02 New!
Цитата · Личное сообщение · #18

RSI
--> Ответ <--




Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 15 июля 2009 10:02 New!
Цитата · Личное сообщение · #19

RSI

Више DillerInc писал ответ почему комп грузит
Isaev пишет:
он висит и грузит на 50-99% проц
...тут так и задумано.Может кто-то захочет потрогать зацикленный образ в памяти,сдампить его,например.
Однако,если народ будет настаивать,то можно оформить иначе.



Ранг: 284.8 (наставник)
Статус: Участник

Создано: 15 июля 2009 10:05 New!
Цитата · Личное сообщение · #20

понял. сорри, че-то с утра плохо читаю ))




Ранг: 563.2 (!)
Статус: Участник
оптимист

Создано: 15 июля 2009 10:08 New!
Цитата · Личное сообщение · #21

Вообщето тузлу делали под securoms ;)



Ранг: 101.0 (ветеран)
Статус: Участник

Создано: 15 июля 2009 10:48 · Поправил: Модератор New!
Цитата · Личное сообщение · #22

ClockMan
Изначально, да. Сейчас, если я не ошибаюсь, здесь обсуждается совсем другая программа.




Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 15 июля 2009 13:00 New!
Цитата · Личное сообщение · #23

SLV пишет:
Разве PEB так часто меняется?

...ты мне предлагаешь перехватывать обращение к PEB'у?
В данном случае,это подобно удалению гланд через задний проход.Гораздо проще,а главное эффективнее поставить простой сплайс на нужные функции.И нужным образом обрабатывать перехват.
Поэтому лучше ты обоснуй свой вариант.
SLV пишет:
Каждое такое место будет потенциально близким к oep.

...похоже,ты далёк от реальности.

Сейчас я намерен приделать туда диалог,где по-умолчанию будет выставлена галка "Automatically kill target process when done".Ну,и в EDIT будет выводится лог.

ClockMan пишет:
Вообщето тузлу делали под securoms ;)

...я уже не помню,для чего я её изначально делал



Ранг: 309.8 (мудрец)
Статус: Участник

Создано: 15 июля 2009 13:40 · Поправил: SLV New!
Цитата · Личное сообщение · #24

DillerInc посмотри как работает GetModuleHandle когда HMODULE = 0. Про перехват обращения я не сказал ничего. Я про установку хука в конец функции. Или проще поставить хук на начало GetModuleHandle и сравнивать адрес возврата с границами секции кода при 0 в аргументе. Но всё равно универсально такое не сделаешь, про протекторы хз, но если рассматривать реальное применение в универсальном движке, то это будет 50/50.




Ранг: 2014.5 (!!!!)
Статус: Модератор
retired

Создано: 15 июля 2009 18:30 New!
Цитата · Личное сообщение · #25

СэЛоВэ, не докапывайтесь до софта. GetModuleHandle в длл не робит. Да и эмулиться он может. И вызываться много раз. А тут бряк на несколько функций сразу. Никто не обещает, что работать будет в 100% со всеми протами, а на практике даёт вполне неплохой результат.



Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 16 июля 2009 09:12 New!
Цитата · Личное сообщение · #26

Archer пишет:
а на практике даёт вполне неплохой результат.


+1



Ранг: 309.8 (мудрец)
Статус: Участник

Создано: 16 июля 2009 12:25 New!
Цитата · Личное сообщение · #27

В длл можно DisableThreadLibraryCalls попробовать




Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 16 июля 2009 13:32 New!
Цитата · Личное сообщение · #28

Обновление.
Как я и говорил,был добавлен диалог.Теперь можно управлять судьбой целевого процесса с помощью галки "Automatically kill target process when done", которая по-умолчанию отмечена.Информация выводится в виде лога.
В библиотеке была добавлена версионная информация.Следите,чтобы эта версия соответствовала версии основного приложения.
SLV пишет:
В длл можно DisableThreadLibraryCalls попробовать

...спасибо,добавил.Пускай будет небольшая оптимизация.

{ Атач доступен только для участников форума } - GeTaOEP1005.rar



Ранг: 22.5 (новичок)
Статус: Участник

Создано: 16 июля 2009 14:18 New!
Цитата · Личное сообщение · #29

Спасибо Диллеру за утилиту. Жаль со стариком не прокатывает




Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 16 июля 2009 14:28 New!
Цитата · Личное сообщение · #30

DillerInc
Еще раз большое спасибо за классную тулзу! Есть еще не большое пожелание включить в программы поддержку Drag and Drop. Спасибо


. 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Софт, инструменты —› Get approximate OEP

Видеокурс ВЗЛОМ