Посл.ответ |
Сообщение |
Ранг: 0.0 (гость) Активность: 0.04↘0 Статус: Участник
|
Создано: 16 сентября 2004 11:15 · Личное сообщение · #1
Хотел бы спросить. Вот только осваиваю Olly и мне интересно: а есть ли какой-нить хитрый способ по поиску OEP subja через Olly? Или только "в лоб" через все SEH?
| Сообщение посчитали полезным: |
|
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 16 сентября 2004 11:28 · Личное сообщение · #2
А чё влоб то, бряки ведь никто не отменял ;)
| Сообщение посчитали полезным: |
Ранг: 0.0 (гость) Активность: 0.04↘0 Статус: Участник
|
Создано: 16 сентября 2004 11:41 · Личное сообщение · #3
Asterix, ну поделись опытом тогда плиз
| Сообщение посчитали полезным: |
Ранг: 384.1 (мудрец) Активность: 0.25↘0 Статус: Участник www.int3.net
|
Создано: 16 сентября 2004 12:02 · Личное сообщение · #4
Man1ac
bioworm.narod.ru/reversing/telock.html
Скажи спасибо: bi0w0rM'у
----- Подписи - ЗЛО! Нужно убирать! | Сообщение посчитали полезным: |
Ранг: 1.0 (гость) Активность: 0.02↘0 Статус: Участник
|
Создано: 16 сентября 2004 12:06 · Личное сообщение · #5
и плугин с wasm.ru скачай
| Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 16 сентября 2004 13:00 · Личное сообщение · #6
Просто запусти под Olly прогу, полностью, и потом поищи в районе
EP(в tElock 0.99 там где pushad) будет jmp OEP, так будет проще
всего ;)
| Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 16 сентября 2004 13:01 · Личное сообщение · #7
ЗЫ: tElock 0.99 ищет и убивает Olly по классу окна, так что нужно ещё пропатчить сам OllyDbg.exe
| Сообщение посчитали полезным: |
Ранг: 0.0 (гость) Активность: 0.04↘0 Статус: Участник
|
Создано: 16 сентября 2004 14:32 · Личное сообщение · #8
bi0w0rM, Asterix и nice - спасибо!!!
| Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 16 сентября 2004 14:34 · Личное сообщение · #9
> и плугин с wasm.ru скачай
А вобще можно импорт чистый у tElock'а отодрать, как это сделать не раз писал Голова или раз, но короче это есть в статье на uinc.ru и в форуме reng.ru если конечно не удалено вместе со старой базой времён артуриков, у последних tElock'ов импорт и так без проблем Импреком берётся без плагинов.
| Сообщение посчитали полезным: |
Ранг: 1.0 (гость) Активность: 0.02↘0 Статус: Участник
|
Создано: 17 сентября 2004 11:59 · Личное сообщение · #10
Asterix пишет:
последних tElock'ов импорт и так без проблем Импреком берётся без плагинов
это как? через Hook?
| Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 17 сентября 2004 13:15 · Личное сообщение · #11
bi0w0rM
Там есть момент когда таблица импорта в памяти целая лежит, нужно отловить момент и сдампить секцию импорта целиком.
| Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 17 сентября 2004 13:28 · Личное сообщение · #12
Мля.., я не правильно прочёл вопрос и не то ответил %)
Я последовательно применяю дизасм, хук, трап флаг - что именно там даёт результат не помню, но знаю точно что плагинами трейсерами не пользовался
| Сообщение посчитали полезным: |
Ранг: 1.0 (гость) Активность: 0.02↘0 Статус: Участник
|
Создано: 17 сентября 2004 15:23 · Личное сообщение · #13
Asterix пишет:
Я последовательно применяю дизасм, хук, трап флаг - что именно там даёт результат не помню, но знаю точно что плагинами трейсерами не пользовался
а дизасм не применить кста
| Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 17 сентября 2004 17:29 · Личное сообщение · #14
> а дизасм не применить кста
Почему?
Ну ладно я проверю, где-то у меня валялось пару- тройку кейгенов от TMG ;)
| Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 17 сентября 2004 19:02 · Личное сообщение · #15
bi0w0rM
Я посмотрел, импорт нормально восстанавливается через "трап флаг" под SoftIce.
Под Olly что-то не взросло.
| Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 18 сентября 2004 05:15 · Личное сообщение · #16
Кста, а Olly умеет detach'ится от процесса в XP+ ??
Если да, то можно было бы засуспендить процесс любым
способом, а потом (от)detach'ится, и тогда ImpRec(Трап флаг)
должен сработать.
Если в Olly нет такой фичи, могу прикрутить к плагину..
| Сообщение посчитали полезным: |
Ранг: 384.1 (мудрец) Активность: 0.25↘0 Статус: Участник www.int3.net
|
Создано: 18 сентября 2004 05:34 · Личное сообщение · #17
Asterix
Да такая ф-ия не помешает!
----- Подписи - ЗЛО! Нужно убирать! | Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 18 сентября 2004 05:52 · Личное сообщение · #18
> Да такая ф-ия не помешает!
Хорошо, сделаю.
Только что глянул, есть такой плагин OllyHelper там эта фича есть, кто-то раньше додумался прикрутить, но правда тот плагин безобразно большой =)
| Сообщение посчитали полезным: |
Ранг: 384.1 (мудрец) Активность: 0.25↘0 Статус: Участник www.int3.net
|
Создано: 18 сентября 2004 07:05 · Личное сообщение · #19
Asterix
А можно ссылочку?
или вышли на мыло, а я выложу.
----- Подписи - ЗЛО! Нужно убирать! | Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 18 сентября 2004 07:48 · Личное сообщение · #20
nice
на экзетулзе в топике лежит..
| Сообщение посчитали полезным: |
Ранг: 384.1 (мудрец) Активность: 0.25↘0 Статус: Участник www.int3.net
|
Создано: 18 сентября 2004 08:15 · Личное сообщение · #21
Asterix
НЕ дают качать
----- Подписи - ЗЛО! Нужно убирать! | Сообщение посчитали полезным: |
Ранг: 1.0 (гость) Активность: 0.02↘0 Статус: Участник
|
Создано: 18 сентября 2004 12:13 · Личное сообщение · #22
Asterix пишет:
Ну ладно я проверю, где-то у меня валялось пару- тройку кейгенов от TMG ;)
потому что там переходники такие:
mov eax,addr
inc eax
push [eax]
ret
inc eax трейсер level 1 не выполняет
| Сообщение посчитали полезным: |
Ранг: 1.0 (гость) Активность: 0.02↘0 Статус: Участник
|
Создано: 18 сентября 2004 12:14 · Личное сообщение · #23
а фсе таки плугин быстрее вашего трап флага будет
| Сообщение посчитали полезным: |
Ранг: 332.0 (мудрец) Активность: 0.18↘0 Статус: Участник •Pr0tEcToRs KiLLeR•
|
Создано: 18 сентября 2004 13:40 · Личное сообщение · #24
хмм... какой длинный топик НЕОЧЁМ для распаковки телока импрек вообще нах не нужен, и об этом астерикс сказал в самом начале топика... какая разница что юзать - дизасм, хук, трап флаг или там плагин, если это всё ненадо юзать ;)
| Сообщение посчитали полезным: |
Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник
|
Создано: 18 сентября 2004 16:44 · Личное сообщение · #25
Mario555
Через ImpRec быстрее будет, однако ;)
| Сообщение посчитали полезным: |
Ранг: 332.0 (мудрец) Активность: 0.18↘0 Статус: Участник •Pr0tEcToRs KiLLeR•
|
Создано: 19 сентября 2004 03:06 · Личное сообщение · #26
хз, быстрее - если он уже запущен, а так - пока его откроешь, пока в нём кнопочки понажимаешь...
да и полюбому если есть возможность восстановить origIT - её надо восстанавливать, ибо это правильнее и красивее ;)
Вот например в svkp после восстановления origIT (правда там для восстановления прожку надо писать...) не надо ничего определять вручную и с эмуляцией никаких проблем нет, т.к. в восстановленной IT соодержатся оригинальные названия функций из special.dll (всякие SVKP_killDebugger, SVKP_CheckTrial и т.п.), а сама special.dll лежит в папке с протектором, там на всех функциях ессно заглушки, и нужно всего один раз переделать эту длл под эмуляцию всех (или только необходимых) функций и усё )
| Сообщение посчитали полезным: |