 |
eXeL@B —› Основной форум —› Снятие протектора PEP v2.0 с программы LikeRusXP |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 25 апреля 2007 09:21 · Личное сообщение · #1 Smon написал: vnekrilov Создай тему о снятии пепа с лайкруса в отдельном топике, этот топик о плагине для ольки. Замечание очень справедливое, и я решил создать отдельный топик по этому вопросу. AirSpirit написал: Однако хотел бы спросить, как вы нашли места, в которых видны имена, типы и размеры ресурсов? И как узнали про детали архивации его пакером? Для поиска имен, типов и размеров ресурсов я сейчас готовлю вторую статью, в которой будет показан более подробно процесс восстановления ресурсов, и обход усиленной анти-отладки. Детали архивации я уточнил, проанализировав работу протектора PEP, который скачал с сайта разработчика.  |
|
|
Создано: 13 мая 2007 22:07 · Личное сообщение · #2 Скажите пожалуста почему при открытии OLLYDBG , LikeRusXP выбивает такую ошибку ?  c5e4_13.05.2007_CRACKLAB.rU.tgz - ERROR.jpg
|
|
|
Создано: 13 мая 2007 22:18 · Личное сообщение · #3 По поводу LikeRusXP 5.18. После того как вписал свой код в созданную секцию (следуя статье) исправил ЕР, а прога не запускается! В чем моя ошибка и что делать? |
|
|
Создано: 13 мая 2007 23:00 · Поправил: Bronco · Личное сообщение · #4 Автор статьи не скоро будет,поэтому за него. KSI1979 Есть такой плагин: advancedolly_b12,выставь все чекбоксы закладок с багфиксами и дополнительными нароботками,тогда отладчик загрузит программу. INDiViD Возможно Loader flags занулить надо. Number of RVA and size = 00000010 ; ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 13 мая 2007 23:09 · Личное сообщение · #5 Я все сделал как написано , а плагин у меня стоит AdvancedOlly v1.26 beta 12 . |
|
|
Создано: 14 мая 2007 12:11 · Личное сообщение · #6 То что на OEP адрес стека всегда 0012FFC4 узнал тока из этого тутора! Может кто плугин под OLLY накатает для нахождения OEP на всяких пакерах/протах? ----- Nulla aetas ad discendum sera |
|
|
Создано: 14 мая 2007 12:13 · Личное сообщение · #7 Flint пишет: Может кто плугин под OLLY накатает для нахождения OEP на всяких пакерах/протах? это не всегда так! а только на тех протах/пакерах, которые стек восстанавливают... чем тебе OEPFind 1.59 не угодил? 
----- [nice coder and reverser] |
|
|
Создано: 14 мая 2007 12:14 · Личное сообщение · #8 2Bronco Первый раз слышу о Loader flags...Дай линк или обьясни что это и как с этим бороться... |
|
|
Создано: 14 мая 2007 15:37 · Личное сообщение · #9 > То что на OEP адрес стека всегда 0012FFC4 узнал тока из этого тутора! чё за бред... esp, оно же регистр, оно же extended stack pointer... при чём тут 0012FFC4.... ----- Shalom ebanats! |
|
|
Создано: 14 мая 2007 15:40 · Личное сообщение · #10 SLV пишет: чё за бред... esp, оно же регистр, оно же extended stack pointer... при чём тут 0012FFC4.... ты не много не понял) он имел ввиду [ESP] вот так, и значение на ер = значинию на оер, вроде так... ----- [nice coder and reverser] |
|
|
Создано: 14 мая 2007 16:00 · Личное сообщение · #11 тогда просто ставится hr esp-4 и всё... =] ----- Shalom ebanats! |
|
|
Создано: 14 мая 2007 16:23 · Личное сообщение · #12 SLV Нед-нед! Нопишите плагин, зачем так просто!
INDiViD пишет: Первый раз слышу о Loader flags... открой файл в любом пе-едиторе и найди Optional Header, там увидишь этот параметр. ----- SaNX |
|
|
Создано: 14 мая 2007 16:54 · Личное сообщение · #13 SaNX Спасибо,будем лезть дальше... |
|
|
Создано: 14 мая 2007 20:35 · Личное сообщение · #14 INDiViD пишет: Спасибо,будем лезть дальше Я вот только не понял на каком этапе ты лазишь... Если с заплаткой возишься то забудь,юзай для снятия дампа OllyDbg PE Dumper v3.0 //FKMA или старше,в нём можно срезать и править секции. Если под старт вскрытой,тогда правь те параметры что были описаны выше. Дай линк Дай уехал в китай....
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 14 мая 2007 20:44 · Личное сообщение · #15 2 Bronco Параметры вправил (Loader flags) но прога стопорится на входе во вписанную процедуру: 00A25060 > 6A 40 PUSH 40 00A25062 68 00300000 PUSH 3000 00A25067 68 00E01E00 PUSH 1EE000 00A2506C 68 0060C327 PUSH 27C36000 00A25071 E8 0B4ADE7B CALL 7C809A81 <=при входе сюда оля показывает пустоту 00A25076 68 00E01E00 PUSH 1EE000 00A2507B 68 00608300 PUSH LikeRusX.00836000 00A25080 68 0060C327 PUSH 27C36000 00A25085 E8 B0D4ED7B CALL 7C90253A 00A2508A -E9 F9C49DFF JMP LikeRusX.00401588 Может эти функции в импорте прописать надо? Если да то как? |
|
|
Создано: 14 мая 2007 21:19 · Поправил: Bronco · Личное сообщение · #16 INDiViD пишет: <=при входе сюда оля показывает пустоту Я даже не сомневался в этом..))))))Лень-матушка подумать...))))))))) CALL 7C90253A - у тебя и здесь такое будет. Загрузи в Ольгу и выправь эти места под свою "машину" Первый вызов VirtualAlloc Второй memmove. Так и пиши когда править будешь.Сохраняй и пробуй.)))))) ------------------ Странно,но этом продукте,после правки NumOfRvaAndSize,патченный прот, при запуске из проводника или ТС,мессагу а найденном отладчике не выдавал.Пробовал другие протектить,там мессага 100%. ------------------ Про прот на коленке,мне нравиться...)))))))))))) ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 14 мая 2007 22:21 · Личное сообщение · #17 Bronco пишет: Первый вызов VirtualAlloc Второй memmove. Так и пиши когда править будешь.Сохраняй и пробуй. В смысле 00A25060 > 6A 40 PUSH 40 00A25062 68 00300000 PUSH 3000 00A25067 68 00E01E00 PUSH 1EE000 00A2506C 68 0060C327 PUSH 27C36000 00A25071 E8 0B4ADE7B CALL VirtualAlloc 00A25076 68 00E01E00 PUSH 1EE000 00A2507B 68 00608300 PUSH LikeRusX.00836000 00A25080 68 0060C327 PUSH 27C36000 00A25085 E8 B0D4ED7B CALL memmove 00A2508A -E9 F9C49DFF JMP LikeRusX.00401588 ? |
|
|
Создано: 14 мая 2007 22:33 · Личное сообщение · #18 Спасибо! Получилось! Я такими вещами просто еще не занимался... Только теперь по-другому дохнет. 0034A308 8F45 FC POP DWORD PTR SS:[EBP-4] <= здесь эксепшн ----------- 010CD342 33ED XOR EBP,EBP <= здесь process terminated И звук успевает какой-то издать...об ошибке |
|
|
Создано: 14 мая 2007 23:32 · Личное сообщение · #19 INDiViD На всяк случай сделай скрины секций,Optional Header,директорий(и внутри директорий тоже) и заплатки. И прилепи в аттаче. Парамметры NumOfRvaAndSize и Loader flags,лучше после дампа проги выправи.Когда с импортом разберёшься. Хотя.... на 5.18,без разницы когда их править. Исключений нет,привелигированные инструкции есть,прохожу их,окей и по шифт+Ф9. Мне так трудно сказать,что за ошибки Что у тебя за сборка отладчика,какие плагины..? ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 15 мая 2007 16:48 · Личное сообщение · #20 Скрины в аттаче, Оля v1.10 из плагинов только CommandBar,IsDebugPresent,OllyDump,OllyScript все. cad9_15.05.2007_CRACKLAB.rU.tgz - screens.zip
|
|
|
Создано: 15 мая 2007 23:41 · Личное сообщение · #21 Дайтее пожалуста Мануал , какие должны быть насройки и плагины OLLYDBG для работы с LikeRusXP 5.19.5 |
|
|
Создано: 29 мая 2007 14:45 · Личное сообщение · #22 Вот написал тулзу (на основе метода vnekrilov) для удаления антидампа (секции с большим VirtualSize)! Мож кому пригодится, работает на PEP 2.0 ( в версии 2.15 это уже пофиксили и автор прота добавил проверку )! Если будут баги, то пишите попробую поправить 83ed_29.05.2007_CRACKLAB.rU.tgz - Remove_AntiDump_PEP.exe
|
| << . 1 . 2 . |
|
eXeL@B —› Основной форум —› Снятие протектора PEP v2.0 с программы LikeRusXP |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати