eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: morgot, -Sanchez- (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› tElock и Olly
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Статус: Участник

Создано: 16 сентября 2004 11:15 New!
Цитата · Личное сообщение · #1

Хотел бы спросить. Вот только осваиваю Olly и мне интересно: а есть ли какой-нить хитрый способ по поиску OEP subja через Olly? Или только "в лоб" через все SEH?

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 16 сентября 2004 11:28 New!
Цитата · Личное сообщение · #2

А чё влоб то, бряки ведь никто не отменял ;)

Ранг: 0.0 (гость)
Статус: Участник

Создано: 16 сентября 2004 11:41 New!
Цитата · Личное сообщение · #3

Asterix, ну поделись опытом тогда плиз

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 16 сентября 2004 12:02 New!
Цитата · Личное сообщение · #4

Man1ac
bioworm.narod.ru/reversing/telock.html
Скажи спасибо: bi0w0rM'у

Ранг: 1.0 (гость)
Статус: Участник

Создано: 16 сентября 2004 12:06 New!
Цитата · Личное сообщение · #5

и плугин с wasm.ru скачай

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 16 сентября 2004 13:00 New!
Цитата · Личное сообщение · #6

Просто запусти под Olly прогу, полностью, и потом поищи в районе
EP(в tElock 0.99 там где pushad) будет jmp OEP, так будет проще
всего ;)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 16 сентября 2004 13:01 New!
Цитата · Личное сообщение · #7

ЗЫ: tElock 0.99 ищет и убивает Olly по классу окна, так что нужно ещё пропатчить сам OllyDbg.exe

Ранг: 0.0 (гость)
Статус: Участник

Создано: 16 сентября 2004 14:32 New!
Цитата · Личное сообщение · #8

bi0w0rM, Asterix и nice - спасибо!!!

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 16 сентября 2004 14:34 New!
Цитата · Личное сообщение · #9

> и плугин с wasm.ru скачай

А вобще можно импорт чистый у tElock'а отодрать, как это сделать не раз писал Голова или раз, но короче это есть в статье на uinc.ru и в форуме reng.ru если конечно не удалено вместе со старой базой времён артуриков, у последних tElock'ов импорт и так без проблем Импреком берётся без плагинов.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 17 сентября 2004 11:59 New!
Цитата · Личное сообщение · #10

Asterix пишет:
последних tElock'ов импорт и так без проблем Импреком берётся без плагинов

это как? через Hook?

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 17 сентября 2004 13:15 New!
Цитата · Личное сообщение · #11

bi0w0rM
Там есть момент когда таблица импорта в памяти целая лежит, нужно отловить момент и сдампить секцию импорта целиком.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 17 сентября 2004 13:28 New!
Цитата · Личное сообщение · #12

Мля.., я не правильно прочёл вопрос и не то ответил %)

Я последовательно применяю дизасм, хук, трап флаг - что именно там даёт результат не помню, но знаю точно что плагинами трейсерами не пользовался

Ранг: 1.0 (гость)
Статус: Участник

Создано: 17 сентября 2004 15:23 New!
Цитата · Личное сообщение · #13

Asterix пишет:
Я последовательно применяю дизасм, хук, трап флаг - что именно там даёт результат не помню, но знаю точно что плагинами трейсерами не пользовался

а дизасм не применить кста

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 17 сентября 2004 17:29 New!
Цитата · Личное сообщение · #14

> а дизасм не применить кста

Почему?
Ну ладно я проверю, где-то у меня валялось пару- тройку кейгенов от TMG ;)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 17 сентября 2004 19:02 New!
Цитата · Личное сообщение · #15

bi0w0rM
Я посмотрел, импорт нормально восстанавливается через "трап флаг" под SoftIce.
Под Olly что-то не взросло.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 18 сентября 2004 05:15 New!
Цитата · Личное сообщение · #16

Кста, а Olly умеет detach'ится от процесса в XP+ ??
Если да, то можно было бы засуспендить процесс любым
способом, а потом (от)detach'ится, и тогда ImpRec(Трап флаг)
должен сработать.
Если в Olly нет такой фичи, могу прикрутить к плагину..

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 18 сентября 2004 05:34 New!
Цитата · Личное сообщение · #17

Asterix
Да такая ф-ия не помешает!

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 18 сентября 2004 05:52 New!
Цитата · Личное сообщение · #18

> Да такая ф-ия не помешает!

Хорошо, сделаю.

Только что глянул, есть такой плагин OllyHelper там эта фича есть, кто-то раньше додумался прикрутить, но правда тот плагин безобразно большой =)

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 18 сентября 2004 07:05 New!
Цитата · Личное сообщение · #19

Asterix
А можно ссылочку?
или вышли на мыло, а я выложу.

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 18 сентября 2004 07:48 New!
Цитата · Личное сообщение · #20

nice
на экзетулзе в топике лежит..

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 18 сентября 2004 08:15 New!
Цитата · Личное сообщение · #21

Asterix
НЕ дают качать

Ранг: 1.0 (гость)
Статус: Участник

Создано: 18 сентября 2004 12:13 New!
Цитата · Личное сообщение · #22

Asterix пишет:
Ну ладно я проверю, где-то у меня валялось пару- тройку кейгенов от TMG ;)

потому что там переходники такие:
mov eax,addr
inc eax
push [eax]
ret

inc eax трейсер level 1 не выполняет

Ранг: 1.0 (гость)
Статус: Участник

Создано: 18 сентября 2004 12:14 New!
Цитата · Личное сообщение · #23

а фсе таки плугин быстрее вашего трап флага будет


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 18 сентября 2004 13:40 New!
Цитата · Личное сообщение · #24

хмм... какой длинный топик НЕОЧЁМ для распаковки телока импрек вообще нах не нужен, и об этом астерикс сказал в самом начале топика... какая разница что юзать - дизасм, хук, трап флаг или там плагин, если это всё ненадо юзать ;)

Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 18 сентября 2004 16:44 New!
Цитата · Личное сообщение · #25

Mario555
Через ImpRec быстрее будет, однако ;)


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 19 сентября 2004 03:06 New!
Цитата · Личное сообщение · #26

хз, быстрее - если он уже запущен, а так - пока его откроешь, пока в нём кнопочки понажимаешь...
да и полюбому если есть возможность восстановить origIT - её надо восстанавливать, ибо это правильнее и красивее ;)
Вот например в svkp после восстановления origIT (правда там для восстановления прожку надо писать...) не надо ничего определять вручную и с эмуляцией никаких проблем нет, т.к. в восстановленной IT соодержатся оригинальные названия функций из special.dll (всякие SVKP_killDebugger, SVKP_CheckTrial и т.п.), а сама special.dll лежит в папке с протектором, там на всех функциях ессно заглушки, и нужно всего один раз переделать эту длл под эмуляцию всех (или только необходимых) функций и усё )
 eXeL@B —› Основной форум —› tElock и Olly

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS