Посл.ответ |
Сообщение |
Ранг: 35.0 (посетитель) Статус: Участник
|
Создано: 25 января 2015 09:37 New! Цитата · Личное сообщение · #1
https://yadi.sk/d/VA14_Hy5eDXs2 отлов OEP, заранее спасибо за любую помощь
|
|
Ранг: 95.7 (постоянный) Статус: Участник
|
Создано: 25 января 2015 13:48 New! Цитата · Личное сообщение · #2
Xlab0s пишет: отлов OEP, заранее спасибо за любую помощь У GPсH спроси.
|
Ранг: 37.9 (посетитель) Статус: Участник
|
Создано: 25 января 2015 18:27 New! Цитата · Личное сообщение · #3
какая версия продукта ? лично игрался и даже получалось в 08-09гг распаковать версию 3.* , на сайте последняя доступная 3.8, более свежие только кастомерам по ряду причин.
|
 Ранг: 629.9 (!) Статус: Участник Автор VB Decompiler
|
Создано: 25 января 2015 18:47 New! Цитата · Личное сообщение · #4
Carpe DiEmТам как раз древняя 3.8. Имхо человеку в запросы
|
 Ранг: 646.0 (!) Статус: Участник ALIEN Hack Team
|
Создано: 25 января 2015 20:56 New! Цитата · Личное сообщение · #5
Я правильно понял, что у человека есть упакованная найспротектом софтина, но он её выкладывать не будет. Вместо этого он упаковывает найсом что-то левое, и выкладывает оба файла - упакованный и распакованный. Или в чём тогда суть?
|
Ранг: 434.7 (мудрец) Статус: Участник
|
Создано: 25 января 2015 22:27 New! Цитата · Личное сообщение · #6
ARCHANGELТренируется может Xlab0sс адреса 00B6145E начинается километровая портянка однотипного кода (как будто его копипастом руками вставляли  ). Среди всего этого безумия попадаются (неожиданно, и какбы невзначай) не тронутые и чистейшие, как слеза девственницы, реальные команды с оригинального OEP.
|
Ранг: 37.9 (посетитель) Статус: Участник
|
Создано: 26 января 2015 00:24 New! Цитата · Личное сообщение · #7
GPcH думаю глобальных изменений не произошло ни в 3.8 ни в 4-й ветке, а смотрел я тогда 3.4 - 3.6, получилось найти оер, сдампить и запустить тестовое приложение.
ARCHANGEL отловить оер
tihiy_grom пишет: ... Среди всего этого безумия попадаются (неожиданно, и какбы невзначай) не тронутые и чистейшие, как слеза девственницы, реальные команды с оригинального OEP.
пакер же
|
 Ранг: 747.9 (! !) Статус: Участник bytecode!
|
Создано: 26 января 2015 01:48 New! Цитата · Личное сообщение · #8
Carpe DiEm пишет: думаю глобальных изменений не произошло ни в 3.8 ни в 4-й веткеВы же конечно в курсе, что GPcH - автор?
|
 Ранг: 646.0 (!) Статус: Участник ALIEN Hack Team
|
Создано: 26 января 2015 10:45 New! Цитата · Личное сообщение · #9
Не, ну автор, конечно, респект. Так что ж теперь - не анпакать?
| Сообщение посчитали полезным: Carpe DiEm |
Ранг: 37.9 (посетитель) Статус: Участник
|
Создано: 26 января 2015 12:17 New! Цитата · Личное сообщение · #10
4kusNick Конечно, но за умеренную плату ГПЧ может забыть на время об этом и снять пакер  По существу, автору стоит посмотреть а tuts4you.com пару скриптов ещё под ~2.5 и первые версии 3 ветки , посмотреть ролик по снятию на примере 2.5 (именно это видео было доступно 5 или 6 лет назад ) и уже исходя из ознакомления и попыток сделать что-либо написать в теме, в противном случаи вангую что тему сегодня-завтра будет закрыта.
|
 Ранг: 1097.2 (!!!!) Статус: Участник
|
Создано: 26 января 2015 13:07 New! Цитата · Личное сообщение · #11
4kusNick пишет: что GPcH - автор? GPcH нет, это - фантастика ©  По факту - прикольный антидамп. Но если у ТС проблемы на нахождением оеп...
|
Ранг: 35.0 (посетитель) Статус: Участник
|
Создано: 26 января 2015 13:32 · Поправил: Xlab0s New! Цитата · Личное сообщение · #12
Видео посмотрел ещё до создания топика
DotFix NiceProtect 2.x unpack https://yadi.sk/d/ab_COEm0eExZk
DotFix NiceProtect 3.4 unpack https://yadi.sk/i/k3iyKsk6eExZe
|
Ранг: 434.7 (мудрец) Статус: Участник
|
Создано: 26 января 2015 13:41 New! Цитата · Личное сообщение · #13
Xlab0sпрогу глянул мельком, потом сразу же удалил и забыл  но на память как-то так - ставим бряк на GetProcAddress, выходим из цикла где обрабатывается импорт, ставим бряк на чтение второй секции кода, выходим и цикла где что-то ксорится и попадаем на тот адрес что я писал выше.
|
 Ранг: 747.9 (! !) Статус: Участник bytecode!
|
Создано: 26 января 2015 13:44 New! Цитата · Личное сообщение · #14
ARCHANGEL Я лишь намекнул, что фраза "думаю глобальных изменений не произошло ни в 3.8 ни в 4-й ветке" выглядит забавно, ибо кому как ни GPcH знать что там произошло =)
Xlab0s пишет: Видео посмотрел ещё до создания топика И где застряли? Пока не видно каких-либо попыток сделать что-то самостоятельно. Так что поддержу Carpe DiEm - либо пишите подробней что не получается, либо в запросы и закрывайте тему.
|
 Ранг: 646.0 (!) Статус: Участник ALIEN Hack Team
|
Создано: 26 января 2015 23:19 · Поправил: ARCHANGEL New! Цитата · Личное сообщение · #15
И ещё:
И опять:
Ай-ай, не хорошо.
|
Ранг: 37.9 (посетитель) Статус: Участник
|
Создано: 26 января 2015 23:41 New! Цитата · Личное сообщение · #16
оно не сработает, или я не прав?
|
 Ранг: 646.0 (!) Статус: Участник ALIEN Hack Team
|
Создано: 26 января 2015 23:49 New! Цитата · Личное сообщение · #17
Сработает. Оно там как раз для того, чтоб сработать. Просто плагов для сокрытия много, они помогут. Но сам факт, нельзя же так с нами поступать.
|
Ранг: 35.0 (посетитель) Статус: Участник
|
Создано: 27 января 2015 15:27 · Поправил: Xlab0s New! Цитата · Личное сообщение · #18
tihiy_grom пишет: ставим бряк на GetProcAddress, выходим из цикла где обрабатывается импорт, ставим бряк на чтение второй секции кода, выходим и цикла где что-то ксорится и попадаем на тот адрес что я писал выше 00B6145E спасиб попробую
ScyllaHide Plugin хватило для этого IsDebuggerPresent, CheckRemoteDebuggerPresent это CreateFileA \.\NTICE я так понял вообще только под SoftICE
|
 Ранг: 646.0 (!) Статус: Участник ALIEN Hack Team
|
Создано: 27 января 2015 15:56 New! Цитата · Личное сообщение · #19
Да, сверхдетекта там нет. Это, правда, не всё, но суть в том, что плаги обходят эти все трюки.
|