Сейчас на форуме: ==DJ==[ZLO], Dart Raiden, Alf (+6 невидимых)

 eXeL@B —› Основной форум —› Вопросик по Olly :)
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Активность: 0.040
Статус: Участник

 Создано: 15 сентября 2004 11:58
· Личное сообщение · #1

В проге идёт расшифровка кода через обычный xor.

Например:
01012A00 B8 DF6A0001 MOV EAX,NOTEPAD(.01006ADF
01012A05 B9 10000000 MOV ECX,10
01012A0A 803408 22 XOR BYTE PTR DS:[EAX+ECX],22
01012A0E ^E2 FA LOOPD SHORT NOTEPAD(.01012A0A
01012A10 B8 E06A0001 MOV EAX,NOTEPAD(.01006AE0

В этом куске происходит расшифровка OEP. Дело в том, что Olly почему-то полностью не отображает расшифрованный код, а лишь несколько инструкций типа:

01006AE0 . 6A 70 PUSH 70
01006AE2 ? 68 88180001 PUSH NOTEPAD(.01001888
01006AE7 E8 DB E8
01006AE8 BC DB BC
01006AE9 01 DB 01
...
И такое всегда, когда встречается зашифрованный код.... SoftICE тоже самое расшифровывает легко. Как решить трабл? =)



Ранг: 45.7 (посетитель)
Активность: 0.050
Статус: Участник
EBFE

 Создано: 15 сентября 2004 12:10
· Личное сообщение · #2

analysis->remove analysis



Ранг: 0.0 (гость)
Активность: 0.040
Статус: Участник

 Создано: 15 сентября 2004 12:17
· Личное сообщение · #3

dMNt, большое спасибо!!!




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

 Создано: 15 сентября 2004 23:45
· Личное сообщение · #4

Угу, или можно нажать ctrl+a и, не дожидаясь конца анализа, нажать пробел.


 eXeL@B —› Основной форум —› Вопросик по Olly :)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати