Русский / Russian English / Английский

Сейчас на форуме: Login_, Adler (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› Generic OEP Finder
<< . 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 12 февраля 2007 10:06 New!
Цитата · Личное сообщение · #1

Написал тут очередной Generic OEP Finder. В отличии от других основан не на Debug API, а на инъекции своей библиотеки (так что если будет ругаться фаервол это нормально ), поэтому можно обходить простую антиотладку, такую как в telock или yoda protector


{ Атач доступен только для участников форума } - GenOEPFinder.rar



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 14 февраля 2007 22:55 New!
Цитата · Личное сообщение · #2

Гут! Работает!
теперь и дампится без ошибок
Респект!



Ранг: 53.1 (постоянный)
Статус: Участник

Создано: 15 февраля 2007 01:51 New!
Цитата · Личное сообщение · #3

UsAr
Прога классная. А можешь еще добавить, чтобы можно было остановиться на заданной мной OEP? Получится вообще универсал.



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 15 февраля 2007 02:04 New!
Цитата · Личное сообщение · #4

Вот так потихоньку, помаленьку ... и напишешь ты свой дебаггер



Ранг: 68.8 (постоянный)
Статус: Участник

Создано: 15 февраля 2007 03:38 New!
Цитата · Личное сообщение · #5

AlCr0 пишет:
Вот так потихоньку, помаленьку ... и напишешь ты свой дебаггер

Да, было бы здорово... романтика!

ЗЫ: UsAr пора прикручивать generic import table rebuilder




Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 15 февраля 2007 05:41 New!
Цитата · Личное сообщение · #6

Пытался найти в AVI MPEG RM WMV Splitter v4.28... Слетела не третьем нексте... =/ А то что было после второго, на OEP не особо похоже...



Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 15 февраля 2007 06:12 New!
Цитата · Личное сообщение · #7

Talula, чем пакована прога?



Ранг: 617.3 (!)
Статус: Участник

Создано: 15 февраля 2007 06:15 New!
Цитата · Личное сообщение · #8

sER пишет:
чем пакована прога?

Аспром или армой (не помню что на этой версии висит).




Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 15 февраля 2007 06:24 New!
Цитата · Личное сообщение · #9

Если аспр, то мог и ОЕР спереть - тогда никакой универсальный ОЕР finder ничего дельного тебе скорее всего не скажет.




Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 15 февраля 2007 06:58 New!
Цитата · Личное сообщение · #10

sERASProtect 2.1x SKE -> Alexey Solodovnikov
У меня ключик к ней есть... Но хоца крякнуть давно уже... Месяца три распаковать не могу... По туторам - нифига... С самого начала не сходиЦцо... Но это точно аспр...
Vovan666Они с 4 версии (раньше не знал о такой проге) аспром пакуют... При чём обычно одним из последних... 4.08 распаковывал спокойно... А эту не могу =(((

Если кому интересно повозиЦо - www.boilsoft.com/




Ранг: 990.2 (! ! !)
Статус: Модератор
Author of DiE

Создано: 15 февраля 2007 07:01 New!
Цитата · Личное сообщение · #11

Talula пишет:
ASProtect 2.1x SKE -> Alexey Solodovnikov


ASProtect 2.2 SKE build 04.25 | Release




Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 15 февраля 2007 07:19 New!
Цитата · Личное сообщение · #12

Hellspawnн-да... =(((

Чувствую, распаковать у меня её ещё не скоро получиЦцо... =(



Ранг: 68.8 (постоянный)
Статус: Участник

Создано: 16 февраля 2007 03:19 New!
Цитата · Личное сообщение · #13

Talula пишет:
Если кому интересно повозиЦо - www.boilsoft.com/

А с чем именно ты там возился? софтин там много



Ранг: 48.8 (посетитель)
Статус: Участник

Создано: 17 февраля 2007 07:45 New!
Цитата · Личное сообщение · #14

2Bash:
Talula пишет:
Пытался найти в AVI MPEG RM WMV Splitter v4.28





Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 17 февраля 2007 07:59 New!
Цитата · Личное сообщение · #15

Hellspawn пишет:
ASProtect 2.2 SKE build 04.25 | Release

Какая точность... =)

bash пишет:
А с чем именно ты там возился? софтин там много

AVI MPEG RM WMV Splitter v4.28




Ранг: 1128.2 (!!!!)
Статус: Участник

Создано: 17 февраля 2007 14:52 New!
Цитата · Личное сообщение · #16

Talula пишет:
Какая точность... =)


ASProtect detector by PE_Kill



Ранг: 53.1 (постоянный)
Статус: Участник

Создано: 22 февраля 2007 01:25 New!
Цитата · Личное сообщение · #17

Блин, этот пробел только мешает
Я тут один пакер ковыряю - у меня там до оеп за 10 минут только доходит. Вот допустим сижу я в асе, болтаю пока до оеп идет - и т.к. я пишу со скоростью звука - когда прога доходит до оеп, а я нажимаю пробел - у меня оеп пролетает. Один, 3 или ДВА раза не страшно, но у меня такое уже раз 20 было - задолбался по 10 минут заново ждать... F2 имхо достаточно!



Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 22 февраля 2007 04:16 New!
Цитата · Личное сообщение · #18

UsAr writes:
Сделал пробел, но он гад всегда хоткей перехватывает, даже если окно не активно. Никто не знает как исправить?

Ну вообще я надеялся что кто-то знает. Меня тоже жутко раздражают такие вот хоткеи, поэтому для себя давно убрал.
Еще пофиксил баг, из-за которого импрек не мог нормально восстанавливать импорт. И баг из-за которого GetProcAddress.log был недоступен.
Обновленная версия все там же hxxp://usar.pp.ru/download/GenOEPFinder.rar
Кстати может кто знает как улучшить фильтр OEP?




Ранг: 251.8 (наставник)
Статус: Участник
Seeker

Создано: 22 февраля 2007 06:52 New!
Цитата · Личное сообщение · #19

UsAr
пропали хоткеи F1, F2, F3



Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 22 февраля 2007 09:01 New!
Цитата · Личное сообщение · #20

=TS=
Это потому что я их удалил
Как не пытался сделать хоткеи локальными ничего не получается. WM_CHAR, WM_KEYDOWN, WM_KEYUP обрабатываться не хотят, а если использовать RegisterHotKey, то клавишы F1,F2,F2 не будут обрабатываться в других программах

Graviy
Можешь выслать этот пакер на yuzvir[at]gmail.com?




Ранг: 251.8 (наставник)
Статус: Участник
Seeker

Создано: 22 февраля 2007 09:32 New!
Цитата · Личное сообщение · #21

UsAr пишет:
Как не пытался сделать хоткеи локальными ничего не получается. WM_CHAR, WM_KEYDOWN, WM_KEYUP обрабатываться не хотят, а если использовать RegisterHotKey, то клавишы F1,F2,F2 не будут обрабатываться в других программах


стукни в аську сегодня после 22 по-московскому... Исправим это недаразумение...



Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 22 февраля 2007 14:35 New!
Цитата · Личное сообщение · #22

Всё, вместе с =TS=, решили проблему хоткеев.
Спасибо ему огромное
Обновленную версию брать там же




Ранг: 251.8 (наставник)
Статус: Участник
Seeker

Создано: 23 февраля 2007 00:30 New!
Цитата · Личное сообщение · #23

UsAr
ЗЫ. ты забыл сказать, что можна прервать процесс определения OEP по F10 или AltF4...



Ранг: 53.1 (постоянный)
Статус: Участник

Создано: 25 февраля 2007 01:08 New!
Цитата · Личное сообщение · #24

UsAr
UsAr пишет:
Graviy
Можешь выслать этот пакер на yuzvir[at]gmail.com?


Да файл тебе мало чем поможет. Там самописанный протектор интегрированный с ключом Guardant Stealth II (не путать с конвертом GSII). Exe из 2,7 Mb превращается в 7,9 Mb после распаковки. Та еще задница, но с напарником вдвоём практически уже справились - пришлось вручную восстанавливать порядка 400 функций импорта.. В общем без ключа на руках нечего там делать..



Ранг: 260.2 (наставник)
Статус: Участник

Создано: 25 февраля 2007 02:22 New!
Цитата · Личное сообщение · #25

Graviy пишет:
Та еще задница, но с напарником вдвоём практически уже справились - пришлось вручную восстанавливать порядка 400 функций импорта.

жжёшь мяс0.



Ранг: 53.1 (постоянный)
Статус: Участник

Создано: 26 февраля 2007 01:14 New!
Цитата · Личное сообщение · #26

sniperZ
Я серьезно. Задача была бы наверное практически невыполнима, но к счастью есть дема, которая в распознавании большинства фукнций очень помогла.



Ранг: 66.8 (постоянный)
Статус: Участник

Создано: 26 февраля 2007 01:29 New!
Цитата · Личное сообщение · #27

Graviy, из-за 400 функций можно было бы и плагин для импрека написать, не думаю что там что-то очень сложное



Ранг: 53.1 (постоянный)
Статус: Участник

Создано: 26 февраля 2007 02:00 New!
Цитата · Личное сообщение · #28

UsAr
Не умею я для импрека плагины писать и не знаю возможно ли это было в данном случае. Но фукнции он интересно воровал. В таблице импорта адреса фукнций переписывал на секцию протектора - а там уже шла эмуляция оригинальных функций, т.е. не перенаправление в системные библиотеки, а полная эмуляция, т.е. полное повторение кода данной функции + немного разбавленная мусорными командами (типа обфускации) для усложнения распознавания.



Ранг: 500.5 (!)
Статус: Участник

Создано: 26 февраля 2007 02:38 New!
Цитата · Личное сообщение · #29

Graviy пишет:
а полная эмуляция, т.е. полное повторение кода данной функции + немного разбавленная мусорными командами (типа обфускации) для усложнения распознавания

Полная эмуляция тоже обходится, надо смотреть процедуру формирования импорта, ведь протектор то откуда то берет адреса и данные для этой эмуляции, вот тут то его и ловить



Ранг: 53.1 (постоянный)
Статус: Участник

Создано: 26 февраля 2007 02:54 New!
Цитата · Личное сообщение · #30

Smon
Опять таки невозможно. Протектор наложили - после этого импорт уже изначально покоцан, т.е. где прот не тронул - импорт чистенький и прекрасно импреком восстанавливается, а в остальных функциях - прот выполняет фукнкции системных библиотек. Импорт не каждый раз формируется, а в нем уже всё сделано.
Smon пишет:
ведь протектор то откуда то берет адреса и данные для этой эмуляции, вот тут то его и ловить

Дык это делается на стадии защиты, а не при запуске. Код системных библиотек повторяется в проте на стадии защиты и т.о. для выполнения данных функций прога уже вообще не лезет в эти библиотеки.



Ранг: 500.5 (!)
Статус: Участник

Создано: 26 февраля 2007 03:44 · Поправил: Smon New!
Цитата · Личное сообщение · #31

Graviy пишет:
Дык это делается на стадии защиты, а не при запуске. Код системных библиотек повторяется в проте на стадии защиты

Бред полный, такого не бывает (даже в фемиде с макс. виртуализацией апи). Если сделать так, то такая прога будет работать ИСКЛЮЧИТЕЛЬНО только на одной версии и билде windows. Учи матчасть
ЗЫ: Хотя конечно можно попробовать утянуть с защищенной прогой абсолютно все системные библиотеки... в том числе и ядро ))) только вот будет ли это работать, вот в чём вопрос


<< . 1 . 2 . 3 . >>
 eXeL@B —› Софт, инструменты —› Generic OEP Finder

Видеокурс ВЗЛОМ