Русский / Russian English / Английский

Сейчас на форуме: Mishar_Hacker (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› Generic OEP Finder
. 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 12 февраля 2007 10:06 New!
Цитата · Личное сообщение · #1

Написал тут очередной Generic OEP Finder. В отличии от других основан не на Debug API, а на инъекции своей библиотеки (так что если будет ругаться фаервол это нормально ), поэтому можно обходить простую антиотладку, такую как в telock или yoda protector


{ Атач доступен только для участников форума } - GenOEPFinder.rar



Ранг: 260.2 (наставник)
Статус: Участник

Создано: 12 февраля 2007 10:26 New!
Цитата · Личное сообщение · #2

UsAr
За старания респект!!!
А так не раб0тает
Пр0б0вал на аспаке, упх, симплпаке(1 мет0д).



Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 12 февраля 2007 10:29 New!
Цитата · Личное сообщение · #3

sniperZ, а что за винда? я подозреваю что нигде кроме как на XP SP2 работать не будет



Ранг: 260.2 (наставник)
Статус: Участник

Создано: 12 февраля 2007 10:55 New!
Цитата · Личное сообщение · #4

UsAr пишет:
а что за винда? я подозреваю что нигде кроме как на XP SP2 работать не будет

XP SP2
p.s. Home Edition, н0 0т эт0г0 ни чег0 не меняется.




Ранг: 106.6 (ветеран)
Статус: Участник

Создано: 12 февраля 2007 10:55 · Поправил: VAD87 New!
Цитата · Личное сообщение · #5

sniperZ пишет:
За старания респект!!!
А так не раб0тает

угу, у меня тож, мож я не догнал как она пашет.
Выбираеш в ней файл, она показывает разные куски кода, нажимаеш NEXT, она показывает следующий кусок кода программы. Причем, взял первыю попавшеюся прогу, понажимал NEXT, дык твой OEPFinder даже не показал кусок кода, с истенным OEP.
Пробывал на WinUpack, ASPack, UPX, результат одит и тот же ((
Система XP SP2 Pro




Ранг: 990.2 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 февраля 2007 10:56 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #6

на 2000 SP4 вылетает ашипка)
и ничё не показывает...



Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 12 февраля 2007 11:09 · Поправил: UsAr New!
Цитата · Личное сообщение · #7

VAD87 пишет:
угу, у меня тож, мож я не догнал как она пашет.
Выбираеш в ней файл, она показывает разные куски кода, нажимаеш NEXT, она показывает следующий кусок кода программы. Причем, взял первыю попавшеюся прогу, понажимал NEXT, дык твой OEPFinder даже не показал кусок кода, с истенным OEP.
Пробывал на WinUpack, ASPack, UPX, результат одит и тот же ((

Все правильно, так и должно быть, только истинный OEP должен был появится. Например на WinUpack.exe (0.39) оеп появляется на 9м next'e после большой паузы.

Hellspawn пишет:
на 2000 SP4 вылетает ашипка)
и ничё не показывает...

Ну там просто нет поддержки векторной обработки исключений, поэтому на 2k не работает




Ранг: 106.6 (ветеран)
Статус: Участник

Создано: 12 февраля 2007 11:25 · Поправил: VAD87 New!
Цитата · Личное сообщение · #8

UsAr пишет:
Все правильно, так и должно быть, только истинный OEP должен был появится. Например на WinUpack.exe (0.39) оеп появляется на 9м next'e после большой паузы.

дык как раз после большой пузы прога запускается, и пока не одного раза, не на одной проге, GenOEPFinder не показал кусок кода, с истенным ОЕР ((
добавил:
Епт, на файле WinUpackR.exe (0,39) и правда после большой паузы показывает кусок с истенным ОЕР, мистика.... Зато на остальных прогах, которые я сам паковал, кусок с истенным ОЕР не показывает ((



Ранг: 50.3 (постоянный)
Статус: Участник

Создано: 12 февраля 2007 11:46 · Поправил: slip New!
Цитата · Личное сообщение · #9

потестел на MEW =)

OEP нашлась после 14 некста =)

ЗЫ
Если не ошибаюсь трюк с VirtualProtect/PAGE_GUARD и перехватом AddVectoredExceptionHandler. Был (есть) оепфайндер от deroko с перехватом KiUserExceptionDispatcher.




Ранг: 990.2 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 февраля 2007 12:10 New!
Цитата · Личное сообщение · #10

slip пишет:
Если не ошибаюсь трюк


не ошибаешься...

Hellspawn пишет:
UsAr


хех, пиши норм оер файндер... у меня где-то валялись наброски
почти всегда правильно находит, тока есть кое-где косяки...




Ранг: 221.8 (наставник)
Статус: Участник

Создано: 12 февраля 2007 12:20 New!
Цитата · Личное сообщение · #11

на аспаке 38 некстов до OEP так и недошол устал указательный палец прикрутить бы еще счетчик некстов этих или запись в лог последнего перед запуском. или хз...



Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 12 февраля 2007 15:58 · Поправил: UsAr New!
Цитата · Личное сообщение · #12

Немного обновил. Добавил небольшую фильтрацию кода по OEP, так что окно должно появляться реже
Ну и счетчик добавил.

{ Атач доступен только для участников форума } - GenOEPFinder.rar



Ранг: 50.3 (постоянный)
Статус: Участник

Создано: 12 февраля 2007 16:03 · Поправил: slip New!
Цитата · Личное сообщение · #13

на MEW сработал на 04 Нексте...

мессаджбокс портет десегн, нельзя ли выводить этот текст в цветном окне? =)




Ранг: 221.8 (наставник)
Статус: Участник

Создано: 12 февраля 2007 16:15 New!
Цитата · Личное сообщение · #14

UsAr пишет
Немного обновил. Добавил небольшую фильтрацию кода по OEP, так что окно должно появлятся реже
Ну и счетчик добавил.

во респект! теперь на 2 нексте OEP на аспаке да и считать удобние стало...



Ранг: 68.8 (постоянный)
Статус: Участник

Создано: 12 февраля 2007 17:22 · Поправил: bash New!
Цитата · Личное сообщение · #15

Red Bar0n пишет:
устал указательный палец

угу, UsAr, может какой-нить хоткей припаяешь для NEXT? А-то я на асме не в курсе как это сделать, а тем более куда это записать в твоих сырках. И ишо не плохо бы кнопку PREV



Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 12 февраля 2007 17:35 New!
Цитата · Личное сообщение · #16

Хоткеи уже есть: F1 - YES, F2 - NEXT, F3 - ABOUT
А PREV это только чтобы результат предыдущий показывало, или чтобы по-новой запускало и трейсило до предыдущего результата?



Ранг: 617.3 (!)
Статус: Участник

Создано: 12 февраля 2007 18:04 New!
Цитата · Личное сообщение · #17

UsAr пишет:
А PREV это только чтобы результат предыдущий показывало, или чтобы по-новой запускало и трейсило до предыдущего результата?

А лучше 2 кнопки забабахать рестарт и прошлый результат.
хоткей для NEXT лучше пробел сделать, а то F2 еще менее удобно мыша давить.



Ранг: 68.8 (постоянный)
Статус: Участник

Создано: 12 февраля 2007 18:41 · Поправил: bash New!
Цитата · Личное сообщение · #18

UsAr пишет:
А PREV это только чтобы результат предыдущий показывало, или чтобы по-новой запускало и трейсило до предыдущего результата?

конечно для того чтоб показывало предыдущий результат, но поскольку для этого нужен повторный запуск и трейс, поэтому я и поржал , хотя можно и из памяти брать листинг (почему бы и нет? )

Vovan666 пишет:
хоткей для NEXT лучше пробел сделать

+1



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 13 февраля 2007 02:55 New!
Цитата · Личное сообщение · #19

и на FSG 2.0 теперь сработала - респект!
тока можно в диалог про дамп добавить инфу о смещении выбранного "OEP" для дампа
можно и длину, если это не будет наглостью



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 13 февраля 2007 03:05 New!
Цитата · Личное сообщение · #20

Хм... PEtools при этом полный дамп не может делать - пачиму?




Ранг: 221.8 (наставник)
Статус: Участник

Создано: 13 февраля 2007 03:19 New!
Цитата · Личное сообщение · #21

AlCr0
потому что вы неправельно юзаете тулз! после нахождения оеп нажать на yes сдампить востановить импорт теперь можно ножать на OK и ребилдеть ресурсы...



Ранг: 110.7 (ветеран)
Статус: Участник
~ tPORt ~

Создано: 13 февраля 2007 03:21 · Поправил: LazzY New!
Цитата · Личное сообщение · #22

нефарт :/
какието траблы при инжекте видимо. Запущеные изпод лоодера приложения все падают
с кодом 80000001 который в к сожалению Not implemented. (

начиная с этого же лоодера пакованого упаком до здоровой дельфовой проги под упиксом все падает



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 13 февраля 2007 04:23 New!
Цитата · Личное сообщение · #23

Под XP SP2 не падает,
под 2k SP4 - да есть такая хрень,
но
UsAr пишет:
а что за винда? я подозреваю что нигде кроме как на XP SP2 работать не будет


Red Bar0n
так и робим, полный дамп не делает, выдает ошибку , зато вот "регион" или "частичный" - хоть скока.
UsAr
Пользуясь случаем - может прикрутить ведение лога по остановкам?
Потом удобно в олле бряки ставить, смотреть что там и как



Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 13 февраля 2007 10:09 New!
Цитата · Личное сообщение · #24

slip пишет:
мессаджбокс портет десегн, нельзя ли выводить этот текст в цветном окне? =)

Исправил

Vovan666 пишет:
А лучше 2 кнопки забабахать рестарт и прошлый результат.

Что-то лень пока это делать, кода очень много прийдется добавлять, да и пока не придумал как можно нормально рестарт сделать

Vovan666 пишет:
хоткей для NEXT лучше пробел сделать

Сделал пробел, но он гад всегда хоткей перехватывает, даже если окно не активно. Никто не знает как исправить?

AlCr0 пишет:
тока можно в диалог про дамп добавить инфу о смещении выбранного "OEP" для дампа
можно и длину, если это не будет наглостью

эээ.... смещение OEP это которое в ImpRec прописывается? Такое добавил
А длина чего?

LazzY пишет:
какието траблы при инжекте видимо. Запущеные изпод лоодера приложения все падают
с кодом 80000001 который в к сожалению Not implemented. (

А что за винда? Мне кажется, что это может быть из-за того что на некоторых виндах EntryPoint во время загрузки c CREATE_SUSPENDED не находится в eax.

AlCr0 пишет:
может прикрутить ведение лога по остановкам?

добавил

+ еще немного улучшил фильтр

{ Атач доступен только для участников форума } - GenOEPFinder.rar



Ранг: 500.5 (!)
Статус: Участник

Создано: 13 февраля 2007 11:11 New!
Цитата · Личное сообщение · #25

UsAr
xp pro sp2, работает без косяков.
спасибо за тулзу



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 13 февраля 2007 12:26 New!
Цитата · Личное сообщение · #26

UsAr пишет:
+ еще немного улучшил фильтр

Что-то не так стало - проверил на той же проге (FSG) - теперь правильный ОЕР ненаходит, прога после первого "предположения" шпарит до полного запуска...



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 13 февраля 2007 12:29 New!
Цитата · Личное сообщение · #27

UsAr пишет:
ведение лога по остановкам?
добавил

а куда она его кидает?



Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 13 февраля 2007 15:05 New!
Цитата · Личное сообщение · #28

AlCr0 пишет:
проверил на той же проге (FSG) - теперь правильный ОЕР ненаходит, прога после первого "предположения" шпарит до полного запуска...


всё отлично находится!



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 14 февраля 2007 01:14 New!
Цитата · Личное сообщение · #29

Хм.. у меня находит OEP распаковщика, но не самой проги
Прежняя версия давала распаковщику отработать и находила реальный ОЕР, а теперь она его пропускает. Надо бы еще попроверять и сравнить 2 версии с другими ...



Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 14 февраля 2007 22:23 New!
Цитата · Личное сообщение · #30

Вот еще немного обновил, да там был небольшой косяк в фильтре я пока этот кусок просто отключил
+ добавил лог GetProcAddress

hxxp://usar.pp.ru/download/GenOEPFinder.rar


. 1 . 2 . 3 . >>
 eXeL@B —› Софт, инструменты —› Generic OEP Finder

Видеокурс ВЗЛОМ