| Сейчас на форуме: ManHunter, Magister Yoda, rtsgreg1989 (+9 невидимых) |
 |
eXeL@B —› Основной форум —› Скрытие OEP ,нужна помощь |
| Посл.ответ | Сообщение |
|
|
Создано: 18 мая 2005 19:36 · Поправил: 6aHguT · Личное сообщение · #1 Проблема в следующем... Пишу пакер ,так ничё особенного просто для себя, да вот проблема ,любой плюгин для нахождения оеп легко его находит  . Я понимаю что это не протектор и это в пакере нах не нада, но всёже оч хотелось бы реализовать какой нить простенький метод. .
Оч жду практических советов ... заранее благодарен  .
З.Ы. Прошу сразу ,особенно Ara не посылать на поиск или Google ,там уже был 
 |
|
|
Создано: 18 мая 2005 20:09 · Личное сообщение · #2 Затирай сигнатуры компилера в OEP, для этого хорошо подходи DotFix FakeSigner ----- Скажем дружно - нафиг нужно. |
|
|
Создано: 18 мая 2005 20:15 · Личное сообщение · #3 Ms-Rem Это мне не подходит ... Мне в самом коде желательно чёнить замутить... 
|
|
|
Создано: 18 мая 2005 20:25 · Личное сообщение · #4 Ты вначале сам пакер напиши,чтобы не вываливался при каждом 3-м запуске. Посмотри исходники yC 1.3. |
|
|
Создано: 18 мая 2005 20:36 · Личное сообщение · #5 Затирание сигнатуры ОЕП не пойдет, т.к. ОЕР все равно определится где-то очень близко. ПЕиД вроде как определяет ОЕР по прыжку между секциями, вот и думай, как это обойти. |
|
|
Создано: 18 мая 2005 20:38 · Личное сообщение · #6 Попробуй вставлять в код пакуемой проги процедуру пакера, чтобы она вызывалась во время распаковки. После распаковки восстанавливай исходный код и скачи на ОЕР. |
|
|
Создано: 18 мая 2005 20:43 · Личное сообщение · #7 TOR пишет: Ты вначале сам пакер напиши Пакер собран работает стабильно. Сорци ети видел а что толку там OEP тож легко находится. Ara пишет: вот и думай, как это обойти. Думал но не придумал чё-то , поэтому и спрашиваю. 
|
|
|
Создано: 18 мая 2005 21:24 · Личное сообщение · #8 6aHguT пишет: любой плюгин для нахождения оеп легко его находит дык вот ты и разберись каким образом он его находит, а там уже и как обмануть станет понятнее. 6aHguT пишет: Это мне не подходит ... насколько я знаю пеид как раз ищёт по сигнам компилера, поэтому если их не изменишь, то чтобы ты там в пакере ни прикрутил сигну пеид всё равно найдёт 
|
|
|
Создано: 18 мая 2005 21:32 · Личное сообщение · #9 предлагаю перезапускать прогу один раз на запуск - превосходно обламывает дебагеры. OEP тоже не определится
|
|
|
Создано: 18 мая 2005 21:41 · Личное сообщение · #10 BaGiE пишет: предлагаю перезапускать прогу один раз на запуск Это прога чтоб сама себя перезапустила? Это как ? Оставить резидента и он чтобы прогу опять запустил? Я правильно понял? |
|
|
Создано: 19 мая 2005 00:56 · Личное сообщение · #11 6aHguT пишет: Оставить резидента и он чтобы прогу опять запустил? Я правильно понял? Зачем резидент? Можно так, например: при запуске прога создает mutex какой-нибудь, потом запускает себя ещё раз, копия обнаруживает мьютекс и распаковывается. Или, например, пусть запускает себя в режиме отладки - так оно ещё надежнее будет 
|
|
|
Создано: 19 мая 2005 07:25 · Поправил: 6aHguT · Личное сообщение · #12 Mario555 пишет: насколько я знаю пеид как раз ищёт по сигнам компилера А такой вариант ... Пакуем файл а потом ещё раз по нему пакер проходится с целью затирания сигнатур компилера. Такое возможно? Если да то как такое реализовать ... Хоть намекните
|
|
|
Создано: 19 мая 2005 08:58 · Поправил: GPcH · Личное сообщение · #13 deNULL пишет: Зачем резидент? Можно так, например: при запуске прога создает mutex какой-нибудь, потом запускает себя ещё раз, копия обнаруживает мьютекс и распаковывается. Или, например, пусть запускает себя в режиме отладки - так оно ещё надежнее будет Это тогда вторая арма без наномитов получится
6aHguT пишет: Пишу пакер ,так ничё особенного просто для себя, да вот проблема ,любой плюгин для нахождения оеп легко его находи Скрывай сигнатуру компилятора. Для этого можно: 1. Спиздить сигнатуру компилятора с OEP и загнать в код пакера (Stolen Bytes) 2. Сунуть сигну компилятора (любого) в код пакера (ненадежно) так:
----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 20 мая 2005 09:45 · Личное сообщение · #14 Спасибки всем ... Дали темы для размышления, буду работать.
З.Ы. тема не закрыта варианты принимаются
|
|
|
Создано: 20 мая 2005 20:36 · Личное сообщение · #15 А если перед прыжком на ОЕР SEH фреймов понаставить! |
|
|
Создано: 21 мая 2005 15:56 · Личное сообщение · #16 g-l-u-k Не поможет, PEID даже на втором аспре с большим кол-вом seh'ов часто верно находит оеп
6aHguT Я делал так - паковал exe PeLock 1.6, затем Morphin'ом, потом с помощью PEStub производства GPcH c со след. стубом: PRO :: ASProtect v1.31 6068EPEPEPEPE801000000C3C34E0515596A679CAA3C3ABDE714C6ECAC2A4BC6 4CC5619E1D535C9D265A0F577F3A1B0F1E20177EC95D621DCBDC72C8DAFB6A89936B65 726E656C33322E646C6C OEP ничем не находится. (токо ручками)
Так что можно спросить у уважаемого GPcH - что обозначают эти байты и как их на OEP применять
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 22 мая 2005 22:44 · Личное сообщение · #17 Smon пишет: Так что можно спросить у уважаемого GPcH - что обозначают эти байты и как их на OEP применять Это всего лишь машинные коды Просто они в HEX виде.
EPEPEPEP - заменяется после вставки на OEP PS: Если кто сигны для PeStubOEP сам делал - присылайте - хоть будетповод новую версию сделать
----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
eXeL@B —› Основной форум —› Скрытие OEP ,нужна помощь |
Для печати