Сейчас на форуме: ==DJ==[ZLO], Dart Raiden, Alf (+6 невидимых)

 eXeL@B —› Основной форум —› tElock и Olly
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Активность: 0.040
Статус: Участник

Создано: 16 сентября 2004 11:15
· Личное сообщение · #1

Хотел бы спросить. Вот только осваиваю Olly и мне интересно: а есть ли какой-нить хитрый способ по поиску OEP subja через Olly? Или только "в лоб" через все SEH?



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 16 сентября 2004 11:28
· Личное сообщение · #2

А чё влоб то, бряки ведь никто не отменял ;)



Ранг: 0.0 (гость)
Активность: 0.040
Статус: Участник

Создано: 16 сентября 2004 11:41
· Личное сообщение · #3

Asterix, ну поделись опытом тогда плиз



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 16 сентября 2004 12:02
· Личное сообщение · #4

Man1ac
bioworm.narod.ru/reversing/telock.html
Скажи спасибо: bi0w0rM'у

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 1.0 (гость)
Активность: 0.020
Статус: Участник

Создано: 16 сентября 2004 12:06
· Личное сообщение · #5

и плугин с wasm.ru скачай



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 16 сентября 2004 13:00
· Личное сообщение · #6

Просто запусти под Olly прогу, полностью, и потом поищи в районе
EP(в tElock 0.99 там где pushad) будет jmp OEP, так будет проще
всего ;)



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 16 сентября 2004 13:01
· Личное сообщение · #7

ЗЫ: tElock 0.99 ищет и убивает Olly по классу окна, так что нужно ещё пропатчить сам OllyDbg.exe



Ранг: 0.0 (гость)
Активность: 0.040
Статус: Участник

Создано: 16 сентября 2004 14:32
· Личное сообщение · #8

bi0w0rM, Asterix и nice - спасибо!!!



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 16 сентября 2004 14:34
· Личное сообщение · #9

> и плугин с wasm.ru скачай

А вобще можно импорт чистый у tElock'а отодрать, как это сделать не раз писал Голова или раз, но короче это есть в статье на uinc.ru и в форуме reng.ru если конечно не удалено вместе со старой базой времён артуриков, у последних tElock'ов импорт и так без проблем Импреком берётся без плагинов.



Ранг: 1.0 (гость)
Активность: 0.020
Статус: Участник

Создано: 17 сентября 2004 11:59
· Личное сообщение · #10

Asterix пишет:
последних tElock'ов импорт и так без проблем Импреком берётся без плагинов

это как? через Hook?



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 17 сентября 2004 13:15
· Личное сообщение · #11

bi0w0rM
Там есть момент когда таблица импорта в памяти целая лежит, нужно отловить момент и сдампить секцию импорта целиком.



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 17 сентября 2004 13:28
· Личное сообщение · #12

Мля.., я не правильно прочёл вопрос и не то ответил %)

Я последовательно применяю дизасм, хук, трап флаг - что именно там даёт результат не помню, но знаю точно что плагинами трейсерами не пользовался



Ранг: 1.0 (гость)
Активность: 0.020
Статус: Участник

Создано: 17 сентября 2004 15:23
· Личное сообщение · #13

Asterix пишет:
Я последовательно применяю дизасм, хук, трап флаг - что именно там даёт результат не помню, но знаю точно что плагинами трейсерами не пользовался

а дизасм не применить кста



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 17 сентября 2004 17:29
· Личное сообщение · #14

> а дизасм не применить кста

Почему?
Ну ладно я проверю, где-то у меня валялось пару- тройку кейгенов от TMG ;)



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 17 сентября 2004 19:02
· Личное сообщение · #15

bi0w0rM
Я посмотрел, импорт нормально восстанавливается через "трап флаг" под SoftIce.
Под Olly что-то не взросло.



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 18 сентября 2004 05:15
· Личное сообщение · #16

Кста, а Olly умеет detach'ится от процесса в XP+ ??
Если да, то можно было бы засуспендить процесс любым
способом, а потом (от)detach'ится, и тогда ImpRec(Трап флаг)
должен сработать.
Если в Olly нет такой фичи, могу прикрутить к плагину..



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 18 сентября 2004 05:34
· Личное сообщение · #17

Asterix
Да такая ф-ия не помешает!

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 18 сентября 2004 05:52
· Личное сообщение · #18

> Да такая ф-ия не помешает!

Хорошо, сделаю.

Только что глянул, есть такой плагин OllyHelper там эта фича есть, кто-то раньше додумался прикрутить, но правда тот плагин безобразно большой =)



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 18 сентября 2004 07:05
· Личное сообщение · #19

Asterix
А можно ссылочку?
или вышли на мыло, а я выложу.

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 18 сентября 2004 07:48
· Личное сообщение · #20

nice
на экзетулзе в топике лежит..



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 18 сентября 2004 08:15
· Личное сообщение · #21

Asterix
НЕ дают качать

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 1.0 (гость)
Активность: 0.020
Статус: Участник

Создано: 18 сентября 2004 12:13
· Личное сообщение · #22

Asterix пишет:
Ну ладно я проверю, где-то у меня валялось пару- тройку кейгенов от TMG ;)

потому что там переходники такие:
mov eax,addr
inc eax
push [eax]
ret

inc eax трейсер level 1 не выполняет



Ранг: 1.0 (гость)
Активность: 0.020
Статус: Участник

Создано: 18 сентября 2004 12:14
· Личное сообщение · #23

а фсе таки плугин быстрее вашего трап флага будет




Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 18 сентября 2004 13:40
· Личное сообщение · #24

хмм... какой длинный топик НЕОЧЁМ для распаковки телока импрек вообще нах не нужен, и об этом астерикс сказал в самом начале топика... какая разница что юзать - дизасм, хук, трап флаг или там плагин, если это всё ненадо юзать ;)



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 18 сентября 2004 16:44
· Личное сообщение · #25

Mario555
Через ImpRec быстрее будет, однако ;)




Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 19 сентября 2004 03:06
· Личное сообщение · #26

хз, быстрее - если он уже запущен, а так - пока его откроешь, пока в нём кнопочки понажимаешь...
да и полюбому если есть возможность восстановить origIT - её надо восстанавливать, ибо это правильнее и красивее ;)
Вот например в svkp после восстановления origIT (правда там для восстановления прожку надо писать...) не надо ничего определять вручную и с эмуляцией никаких проблем нет, т.к. в восстановленной IT соодержатся оригинальные названия функций из special.dll (всякие SVKP_killDebugger, SVKP_CheckTrial и т.п.), а сама special.dll лежит в папке с протектором, там на всех функциях ессно заглушки, и нужно всего один раз переделать эту длл под эмуляцию всех (или только необходимых) функций и усё )


 eXeL@B —› Основной форум —› tElock и Olly
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати