Проблемма с протектором.

Сейчас на форуме: zds, _MBK_ (+7 невидимых)

Посл.ответ	Сообщение
gevara Ранг: 7.0 (гость) Активность: 0=0 Статус: Участник	Создано: 06 июня 2007 21:21 · Личное сообщение · #1 Есть запротекченная прога. скинул дамп, исправил импорт. определил оригинальный EP. Проблемма в том, что прот палит буквально всё: не запускается под варей, SoftIce, OllyDbg. Вообще мне необходимо проставить бряк на OEP и затем скинуть дамп. То есть какой-то механизм остановки программы при eip == OEP. Как можно это сделать?

Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 06 июня 2007 21:37 · Личное сообщение · #2 Ни ссылки нет, ни описания нормального, даже прот не написан. Можно только сказать: юзай плаги, читай статьи и расти над собой.
Sey Ранг: 63.1 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 06 июня 2007 22:05 · Личное сообщение · #3 Дай ссыль на твое жуткое файло или хотя бы РЕ-идом его потесть, а то хз что тебе отвечать.
Assass1n Ранг: 158.7 (ветеран) Активность: 0.11↘0 Статус: Участник	Создано: 06 июня 2007 22:11 · Личное сообщение · #4 gevara пишет: Есть запротекченная прога. скинул дамп, исправил импорт. определил оригинальный EP. Что ж это за прот такой, который после снятия всё равно всё палит??? Или я недопонимаю суть распаковки? ----- Я ещё не волшебник, я только учусь...
gevara Ранг: 7.0 (гость) Активность: 0=0 Статус: Участник	Создано: 06 июня 2007 22:42 · Поправил: gevara · Личное сообщение · #5 >Что ж это за прот такой, который после снятия всё равно всё палит??? Или я недопонимаю суть распаковки? снял дамп чтобы OEP найти. теперь, я так понимаю, нужно запустить запротекченную прогу и снять дамп в тот момент, когда eip==OEP. вот я и спрашиваю - как остановить прогу на OEP? без сайса. PEid ничего не выдаёт.
Cigan Ранг: 160.9 (ветеран), 1thx Активность: 0.05↘0 Статус: Участник	Создано: 06 июня 2007 23:03 · Личное сообщение · #6 на крайняк маленький лоадер и на ОЕП EBFEh
VAD87 Ранг: 106.6 (ветеран) Активность: 0.1↘0 Статус: Участник	Создано: 07 июня 2007 11:48 · Поправил: VAD87 · Личное сообщение · #7 gevara пишет: PEid ничего не выдаёт. Во первых, есть другие анализаторы, попробуй заюзать из ;) Во вторых, все таки выложи отдельно ехе, посмотрим, что там такого страшного висит)) P.S. Если хочеш получить норм советы по поводу того, что делать, тебе придется выложить прогу или дать линк на нее.
seeq Ранг: 105.9 (ветеран) Активность: 0.06↘0 Статус: Участник	Создано: 07 июня 2007 12:24 · Поправил: seeq · Личное сообщение · #8 Ну как вариант можно сделать так: 1. Отследи все вызовы api из протектора (не программы), можно для этих воспользоваться KAM'ом 2. Зная последюю вызываемую апи захучить ее. далее 2 варианта. 1. В хуке поставить остановку (слип или EBFE) и в это время попробовать подключиться с помощью олли, ну или softice/syser. Такой вариант прокатит если все антидебажные проверки уже прошли. Ну а далее уже дойти до EP. 2. Написать свой примитивный трейсер который и будет включатся хуком последней апи. Такой вариант более грамоздкий, зато универсальный. Еще есть вариант захучить первую апи вызываемую из программы ( обычно GetModuleHandleA она вызывается через пару десятков команд после EP) и скинуть дамп в хуке.
RSI Ранг: 284.8 (наставник), 6thx Активность: 0.15↘0 Статус: Участник	Создано: 07 июня 2007 15:50 · Личное сообщение · #9 gevara Кинь ссыль на прогу!!! а то надоело уже всем гадать

Для печати