| Сейчас на форуме: _MBK_, ManHunter, Magister Yoda, rtsgreg1989 (+9 невидимых) |
 |
eXeL@B —› Основной форум —› patch OEP of child process to EBFE |
| Посл.ответ | Сообщение |
|
|
Создано: 30 июня 2005 11:12 · Личное сообщение · #1 Есть программа. PEiD определяет как Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks Так же прога использует CopyMem. Распаковывать пробовал через скрип: Armadillo script - detach parent from client and unpack (1000 bytes method) - by hipu После запуска, прога просит пропатчить процесс. Log data ------------------------------------------------------------- Address | Message ------------------------------------------------------------- OllyDbg v1.10 00644A79 Program entry point IsDebugPresent hidden rdata_begin = 004CA000 77DD0000 Module C:\WINDOWS\system32\ADVAPI32.DLL 7C85A268 Breakpoint at kernel32.WaitForDebugEvent pDebugEvent = 0012EB84 00634E45 Single step event at BudRedhe.00634E45 7C810856 New thread with ID 000002D4 created 006393B8 Access violation when reading [00C9003C] 006393B8 Access violation when reading [00C9003C] crypto_proc was nopped... patch OEP of child process to EBFE (using PUPE...) child_ProcID = 00000550 child_OEP = 00400000 press script/resume when ready Подскажите, пожалуйста, как сделать: "patch OEP of child process to EBFE" Использовал PUPE (PUPE 2002 Suite (Parcheador Universal de Procesos en Ejecucion)), но так там ничего и не понял.  |
|
|
Создано: 30 июня 2005 11:23 · Личное сообщение · #2 Ой, какие скрипты против армы, руками проще, чем в скриптах разбираться... |
|
|
Создано: 30 июня 2005 11:26 · Личное сообщение · #3 SiN Странный какойто child_OEP = 00400000 похоже скрипт не справился... тебя просят перейти по адресу 00400000 и заменить 2 байта на EB FE, эта команда xxxxx JMP xxxxxx то есть программа зацикливается ----- Подписи - ЗЛО! Нужно убирать! |
|
eXeL@B —› Основной форум —› patch OEP of child process to EBFE |
Для печати