eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› Может кто подскажет.
Посл.ответ Сообщение

Ранг: 0.1 (гость)
Статус: Участник

Создано: 16 декабря 2004 05:25 New!
Цитата · Личное сообщение · #1

Проблема в следующем. Заинтересовался я взломом и защитой и в качестве бодопытного приложения выбрал "Домашняя бухгалтерия 4". запакована ASProtect 1.23 RC4 . Прочитал пару статей по распаковке принялся получать OEP, PE-Tools'ом загрузил в SoftIce 4.2.7 установил bpm esp-4 ....
пошаговой трасировкой дошел до такого места
push 00XXXXX1 ; насколько я понимаю это OEP
push 00XXXXX2
Ret

на рет её зациклил слил в дам потом пробую зять е неё импорт c помощью тулзы ImpRec 1.6 FINAL указываю OEP нажимаю IAT AutoSearch и получаю сообщение что OEP неправельный.
перелопатил пол инета(в поиске информации про OEP) нашел еще кучу сомнительных программ и каждая указывает разный OEP в конце концов PEID сообщает другой OEP.

Объясните мне начинающиму горе крякеру что есть OEP и как правильно его искать.

и еще вопросы(раз уж решился спросить)
1. размер проги 1.8 мегов дамп больше 6 мегов почему. предполагаю что там находится еще слепок данных оперативной памети и если да то надоли его отрезать и как правильно это делать.

2. если идти в SoftIce по запакованному коду то не вооруженным глазом видно что после выполнения безобидных команд (таких как push, pop, mov, add ...) соседние команды меняются с чем это связанно?

3. не могу понять где прога хранить информацию о треальности делал слепки реестра стравнивал мониторил файловую систему ничего не заметил.


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 16 декабря 2004 05:50 New!
Цитата · Личное сообщение · #2

oops пишет:
push 00XXXXX1 ; насколько я понимаю это OEP
push 00XXXXX2
Ret

Не правильно понимаешь, если уж и OEP, то тока push 00XXXXX2 OEP в ImpRec вводи c вычитом ImageBase...


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 16 декабря 2004 06:17 New!
Цитата · Личное сообщение · #3

oops пишет:
push 00XXXXX1 ; насколько я понимаю это OEP
push 00XXXXX2
Ret

А кажись в аспре один push перед переходом на ОЕР. Если ты мечешься, где оер, где не оер, почитай мою статью(на кряклабе - Распаковка? Это легко!). По моей сатье ты точно найдёшь оер(если всё правильно будешь делать).
пацан, кажись в этой проге аспр по умному навешан.

Ранг: 0.1 (гость)
Статус: Участник

Создано: 16 декабря 2004 06:35 New!
Цитата · Личное сообщение · #4

Спасибо за советы вечером после работы обязательно попробую.


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 16 декабря 2004 07:14 · Поправил: WELL New!
Цитата · Личное сообщение · #5

Гы-гы-гы
Я вот сломал эту прогу.
Выложил на [url=http://www.rockteam.org
]www.rockteam.org
[/url]
А автор саложонок долбаный настучал хостеру.
Пришлось кряк убрать с сайта.

Буду выкладывать где-нить в другом месте.


P.S. Если у кого есть куда выложить - пишите в ПМ плиз


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 16 декабря 2004 09:17 New!
Цитата · Личное сообщение · #6

WELL пишет:
А автор саложонок долбаный настучал хостеру.

LOL!
Ну наказание для него придумать надо =))
Залей кряку на известные сайты и всего дело (стучать нехорошо)


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 16 декабря 2004 10:12 New!
Цитата · Личное сообщение · #7

Дык завтра как раз займусь этим праведным делом =))

Ранг: 0.1 (гость)
Статус: Участник

Создано: 16 декабря 2004 11:24 · Поправил: oops New!
Цитата · Личное сообщение · #8

не получается наверное руки не от туда растут
в одном и томже месте при разных запусках OEP разный так должно быть ?

пытаюсь отрезать секцию упаковщика как описанно в статье "Распаковка? Это легко!!!" PE-Tools 1.5 после выполнения команды контекстного меню
#Load Section from disk# PE-Tools вылетает с ошибкой.
пробывал в разных OC.

PE-Tools 1.5.400.2003 by NEOx


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 17 декабря 2004 02:24 New!
Цитата · Личное сообщение · #9

oops пишет:
#Load Section from disk# PE-Tools вылетает с ошибкой.

NEOx, появись, меня этот глюк уже зае... приходится LordPe запускать, который я очень не люблю Вот какраз новый релиз к новому году будет опять Xmas edition Кстати, глюк вылетает не на всех прогах!

Ранг: 0.1 (гость)
Статус: Участник

Создано: 17 декабря 2004 03:49 New!
Цитата · Личное сообщение · #10

Существует ли универсальный способ нахождения OEP или какой нибуть способ его проверить.

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 17 декабря 2004 04:01 New!
Цитата · Личное сообщение · #11

Bit-hack
На самом деле я научился, но это танеец с бубном, а вот у Астерикса и команды uinc.ru есть исправленная...

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 17 декабря 2004 04:02 New!
Цитата · Личное сообщение · #12

oops
врядли, т.к. много протекторов в последнее врема "съедают ОЕР" заливая его мусором.

Ранг: 0.1 (гость)
Статус: Участник

Создано: 17 декабря 2004 07:05 · Поправил: oops New!
Цитата · Личное сообщение · #13

Щас немного побаловался Olly как описанно в статье "Распаковка AsProtect “Шаг за шагом”. (LaBBa & Nice)"
получаю OEP постоянно =0085f1fc


когда я баловался с SoftIce то доходил до такой строки
push 0085f1fc
push 100E5B9 ; это значение не постоянное
Ret

-= ALEX =- говорил что команда: push 0085f1fc это не есть OEP но в Olly скрипт упорно говорит OEP=0085f1fc. ImpRec импорт не получает.

Ничего не понимаю

WEEL ты вроде сломал её какой OEP у неё.


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 17 декабря 2004 07:19 New!
Цитата · Личное сообщение · #14

oops просто если стоит push XXXXXXXX потом ret, то прыжок будет точно на XXXXXXXX. Ну потом конечно мож и 0085f1fc при деле окажется, при последующем ret

Ранг: 0.1 (гость)
Статус: Участник

Создано: 17 декабря 2004 08:21 New!
Цитата · Личное сообщение · #15

что прыжок будет это понятно.
(когда то давно изучал ассемблер но болшего внимания не уделял заголовку файла exe. наверное зря) я не понимаю одного OEP всегда один и тодже или он меняется от загрузки программы.

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 18 декабря 2004 06:35 New!
Цитата · Личное сообщение · #16

oops
Всегда одинаковый(если это не вирус-полиморф , только помни про краденные байты, количество которых в аспре может различаться...

Ранг: 0.1 (гость)
Статус: Участник

Создано: 18 декабря 2004 11:53 · Поправил: oops New!
Цитата · Личное сообщение · #17

nice спасибо за ответ с OEP уже разобрался пришлось поднять тучу документайции

я нашел себе новую игрушку под нозвание AsProtect.

еще такой вопрос реально ли выдрать код распаковщика из программы и на его основе построить утилиту ?
думаю стоит ли пробывать или нет.

да еще .
Есть такая утилита "Merge" которая позволяет сравнивать два текстовых файла используется обычно в команде разработчиков ПО для сравнения файлов перед тем как ложить в СОС. Есть ли такая утелита для .exe фалов (только не говорите про ITCompare) так что бы она дезасемблировала а дальше как "Merge" или посоветуте какойнибуть дезасемблер командной строки.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 20 декабря 2004 10:08 New!
Цитата · Личное сообщение · #18

Я только начал изучать статьи с этого сайта(затягивает) и столкнулся с проблемами. Вот одна из них: я хотел исследовать Alcohol 120 % как описано в статье TITBITA'а, она упакована UPX'ом ( мне удалось его распаковать благодаря статье MozgC). Дальше я хотел дисассемблировать получившуюся прогу WinDasm'ом но при этом он зависает, так же он зависает при попытке дисассемблировать упакованный файл. Раньше я такого не видел поэтому обращаюсь к вам.
 eXeL@B —› Крэки, обсуждения —› Может кто подскажет.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS