Сейчас на форуме: zds, _MBK_ (+7 невидимых)

 eXeL@B —› Основной форум —› Проблемма с протектором.
Посл.ответ Сообщение

Ранг: 7.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 06 июня 2007 21:21
· Личное сообщение · #1

Есть запротекченная прога. скинул дамп, исправил импорт. определил оригинальный EP. Проблемма в том, что прот палит буквально всё: не запускается под варей, SoftIce, OllyDbg. Вообще мне необходимо проставить бряк на OEP и затем скинуть дамп. То есть какой-то механизм остановки программы при eip == OEP. Как можно это сделать?




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 06 июня 2007 21:37
· Личное сообщение · #2

Ни ссылки нет, ни описания нормального, даже прот не написан. Можно только сказать: юзай плаги, читай статьи и расти над собой.



Ранг: 63.1 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 06 июня 2007 22:05
· Личное сообщение · #3

Дай ссыль на твое жуткое файло или хотя бы РЕ-идом его потесть, а то хз что тебе отвечать.



Ранг: 158.7 (ветеран)
Активность: 0.110
Статус: Участник

Создано: 06 июня 2007 22:11
· Личное сообщение · #4

gevara пишет:
Есть запротекченная прога. скинул дамп, исправил импорт. определил оригинальный EP.

Что ж это за прот такой, который после снятия всё равно всё палит??? Или я недопонимаю суть распаковки?

-----
Я ещё не волшебник, я только учусь...




Ранг: 7.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 06 июня 2007 22:42 · Поправил: gevara
· Личное сообщение · #5

>Что ж это за прот такой, который после снятия всё равно всё палит??? Или я недопонимаю суть распаковки?
снял дамп чтобы OEP найти. теперь, я так понимаю, нужно запустить запротекченную прогу и снять дамп в тот момент, когда eip==OEP. вот я и спрашиваю - как остановить прогу на OEP? без сайса.

PEid ничего не выдаёт.



Ранг: 160.9 (ветеран), 1thx
Активность: 0.050
Статус: Участник

Создано: 06 июня 2007 23:03
· Личное сообщение · #6

на крайняк маленький лоадер и на ОЕП EBFEh




Ранг: 106.6 (ветеран)
Активность: 0.10
Статус: Участник

Создано: 07 июня 2007 11:48 · Поправил: VAD87
· Личное сообщение · #7

gevara пишет:
PEid ничего не выдаёт.

Во первых, есть другие анализаторы, попробуй заюзать из ;)
Во вторых, все таки выложи отдельно ехе, посмотрим, что там такого страшного висит))
P.S. Если хочеш получить норм советы по поводу того, что делать, тебе придется выложить прогу или дать линк на нее.




Ранг: 105.9 (ветеран)
Активность: 0.060
Статус: Участник

Создано: 07 июня 2007 12:24 · Поправил: seeq
· Личное сообщение · #8

Ну как вариант можно сделать так:
1. Отследи все вызовы api из протектора (не программы), можно для этих воспользоваться KAM'ом
2. Зная последюю вызываемую апи захучить ее.

далее 2 варианта.
1. В хуке поставить остановку (слип или EBFE) и в это время попробовать подключиться с помощью олли, ну или softice/syser. Такой вариант прокатит если все антидебажные проверки уже прошли. Ну а далее уже дойти до EP.

2. Написать свой примитивный трейсер который и будет включатся хуком последней апи. Такой вариант более грамоздкий, зато универсальный.

Еще есть вариант захучить первую апи вызываемую из программы ( обычно GetModuleHandleA она вызывается через пару десятков команд после EP) и скинуть дамп в хуке.



Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 07 июня 2007 15:50
· Личное сообщение · #9

gevara
Кинь ссыль на прогу!!! а то надоело уже всем гадать


 eXeL@B —› Основной форум —› Проблемма с протектором.
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати