 |
eXeL@B —› Основной форум —› PC Guard 5 & OllyDBG & мануал bi0w0rM[AHT] |
| Посл.ответ | Сообщение |
|
|
Создано: 17 октября 2005 23:32 · Личное сообщение · #1 Ребята несмейтесь ежели какую глупость сморожу. Вот статья - http://www.exelab.ru/art/pcg50_biowrm.php все расписано, все разжевано, но у меня на одном месте затык. Уже второй подход4 дня долблю никак немогу понять, голова уже гудит. 1. Находим OEP Грузим PCGuard в олли, заходим в Options(Alt+O)->Exceptions и ставим в игнор все исключения. Это необходимо, т.к. PCGuard не даст нам пройти до OEP. Олли должен быть спрятан от обнаружения плагином IsDebuggerPresent. Заходим в карту памяти(Alt+M) и ставим Memory Breakpoint on Access первой секции нашего процесса(PCGWIN32), т.к. в ней должен быть code. нажимаем Shift+F9, BP срабатывает в этом месте: 0049770E 281F SUB BYTE PTR DS:[EDI],BL 00497710 50 PUSH EAX 00497711 8B85 54F24100 MOV EAX,DWORD PTR SS:[EBP+41F254] 00497717 3207 XOR AL,BYTE PTR DS:[EDI] 00497719 D1C0 ROL EAX,1 0049771B 8985 54F24100 MOV DWORD PTR SS:[EBP+41F254],EAX 00497721 58 POP EAX 00497722 47 INC EDI 00497723 59 POP ECX 00497724 E2 02 LOOPD SHORT PCGWIN32.00497728 00497726 EB 05 JMP SHORT PCGWIN32.0049772D 00497728 ^E9 21FFFFFF JMP PCGWIN32.0049764E 0049772D C3 RETN Здесь цикл, так что ставим бряк на RETN(F2) и снова заходим в карту памяти и убираем наш memory break point(Remove Memory Break Point). Shift+F9 и останавливаемся, где надо - на RETN. Обходим несколько раз этот цикл, пока не окажемся, вот здесь: 00487004 AC LODS BYTE PTR DS:[ESI] 00487005 EB 01 JMP SHORT PCGWIN32.00487008 00487007 ^E3 EB JECXZ SHORT PCGWIN32.00486FF4 00487009 01D4 ADD ESP,EDX 0048700B 3C E9 CMP AL,0E9 0048700D EB 01 JMP SHORT PCGWIN32.00487010 Это цитата из статьи Затык приключился у меня в этом месте Обходим несколько раз этот цикл, пока не окажемся, вот здесь: Как обойти этот цикл ? че нажимать ? Никак попасть в "это место" немогу до этого места все по расписанию. Пробовал уже всяко разно ниче не выходит далее чем "Shift+F9 и останавливаемся, где надо - на RETN" Кто нить Поборол PC Guard 5 по этому мануалу ? Либо эта фича уже не работает ? Умоляю ответьте подробно как это сделать, как попасть в 00487004 AC LODS BYTE PTR DS:[ESI] 00487005 EB 01 JMP SHORT PCGWIN32.00487008 00487007 ^E3 EB JECXZ SHORT PCGWIN32.00486FF4 00487009 01D4 ADD ESP,EDX 0048700B 3C E9 CMP AL,0E9 0048700D EB 01 JMP SHORT PCGWIN32.00487010 после "Shift+F9 и останавливаемся, где надо - на RETN" до этого места все путем. Помогите ато голова раскалываетяс, уже прочитал все что можно.  |
|
|
Создано: 17 октября 2005 23:48 · Личное сообщение · #2 Lomik Попробуй скрипты для ольки |
|
|
Создано: 18 октября 2005 05:36 · Личное сообщение · #3 Сейчас уже эту прогу и не найдешь, чтобы помочь. |
|
|
Создано: 18 октября 2005 05:52 · Личное сообщение · #4 Lomik пишет: Обходим несколько раз этот цикл, пока не окажемся, вот здесь Или трейсь ликл или поставь на его выходе бряк и отпусти прогу. |
|
|
Создано: 18 октября 2005 10:39 · Личное сообщение · #5 Я распаковываю другую прогу, но дело не в этом я скачал с офф сайта прогу из примера и у меня - тож самое получается, тоесть ничего не получается 
tar4 пишет: Сейчас уже эту прогу и не найдешь, чтобы помочь Ну почему же, вот офф сайт этого пакера www.sofpro.com/download.htm текущая версия PC Guard 5 Там есть демо версия pcgw32d.zip так он сама собою и запакована и она разобрана в примере |
|
|
Создано: 18 октября 2005 10:43 · Личное сообщение · #6 Bit-hack пишет: Или трейсь ликл или поставь на его выходе бряк и отпусти прогу. Я совсем зеленый s8, если не в лом напиши как конкретно че нажать(пкакие кнопки и откуда начать), вроде я неочень тупой но все одно не получается |
|
|
Создано: 18 октября 2005 11:34 · Личное сообщение · #7 Lomik пишет: Умоляю ответьте подробно как это сделать, как попасть в 00487004 AC LODS BYTE PTR DS:[ESI] В общем, я посмотрел начало статьи и прошел до ОЕР след. образом: 00486F8F SUB [BYTE DS:EDI],BL //До этого адреса ты знаешь, как дойти. Далее доходим до REtn (например через F2). Затем делаешь Alt-M и F2 (снова бряк на секцию кода) и F9 (run) попадаем сюда 0048BAD0 LODS [BYTE DS:ESI] //побайтная загрузка в ЕАХ из ESI по F8 трейсим до 0048BBAF LOOPD SHORT PCGWIN32.0048BBB3 0048BBB1 JMP SHORT PCGWIN32.0048BBB8 0048BBB3 JMP PCGWIN32.0048BAD0 0048BBB8 JMP SHORT PCGWIN32.0048BBBB ; Здесь ставим бряк по F2 Пришли в этот адрес, убираем бряк с адреса и вновь ставим Alt-M, F2 и F9 (снова бряк на секцию кода) и ты на ОЕР 00428BA5 55 PUSH EBP 00428BA6 8BEC MOV EBP,ESP 00428BA8 6A FF PUSH -1 00428BAA 68 D80F4300 PUSH PCGWIN32.00430FD8 Ну, а далее уже сам иди. |
|
|
Создано: 18 октября 2005 16:55 · Поправил: Lomik · Личное сообщение · #8 Спасибо - догнал, теперь воюю с Восстанавливаем IAT |
|
|
Создано: 09 января 2006 12:49 · Личное сообщение · #9 Всем привет! Попробовал распаковать pcgw32d. Получилось, но выход на LODS BYTE PTR DS:[ESI] был маленько изврщенным (до OEP добрался). После восстановления IAT прога запустилась,но при попытке запаковать тестовую прогу вылетает! Оказалось, что большая часть проги не распакована! Были ли у кого такие проблемы? Спасибо. |
|
|
Создано: 10 января 2006 05:11 · Личное сообщение · #10 Там просто нужно расчистить мусор! И все будет запускатся! |
|
|
Создано: 10 января 2006 18:26 · Личное сообщение · #11 Спасибо, но все решилось просто. Сделал еще раз дамп и все ок. з.ы. Выход на OEP оказался очень простым! Как добрасля до REtn поставил бряк на секцию кода и снял бряк с REtn. Потом Shift+F9 и мы на OEP. Всем удачи! |
|
eXeL@B —› Основной форум —› PC Guard 5 & OllyDBG & мануал bi0w0rM[AHT] |
Для печати