| Сейчас на форуме: _MBK_ (+7 невидимых) |
 |
eXeL@B —› Основной форум —› ExeCryptor OEP Finder Script |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 26 июля 2007 09:56 · Личное сообщение · #1 Снял ролик ;) демонстрирующий работу скрипта ! Решил вывести в отдельну тему в архиве скрипт и триллер ;) rapidshare.com/files/45103479/Execriptor_VM_oep_Find.rar  |
|
|
Создано: 01 августа 2007 17:43 · Личное сообщение · #2 Я пробовал. Правда всего на одной проге. Тоже ушло в долгий трейс, ждать завершения которого не стал, на скрипт забил, не вдаваясь в его суть и дошел до OEP руками по Pavkin-ому же методу: бряками на запись/чтение/запись. P.S. Два наших героя снова вышли на тропу войны. Буде весело. 
|
|
|
Создано: 01 августа 2007 18:48 · Личное сообщение · #3  YDS пишет:
Тоже ушло в долгий трейс, ждать завершения которого не стал, на скрипт забил, Если ушло в долгий трей значит неверно выбрал метод или не верно проставил секции! долгим он поучается потому что из за неверного выбора бряк на чтение секции криптора ставится поздно т.е после ЕП ну и соответственно так как она уже пройдена трейс будет безконечным! VM OEP Есть смысл искат в прогах где схаван весь стаб или значительная его часть что бы не парится с восстановлением в проге MyChatServer нет смысла брать VM OEP так как в ней процедура проверки регистрации криптором! Стаб проги весь целый 0065A388 8B0D 70AC6600 mov ecx,dword ptr ds:[66AC70] ; mcservU_.0066EFD4 0065A38E 8B03 mov eax,dword ptr ds:[ebx] 0065A390 8B15 24F86200 mov edx,dword ptr ds:[62F824] ; mcservU_.0062F870 0065A396 E8 6D52E2FF call mcservU_.0047F608 0065A39B 8B0D 94AB6600 mov ecx,dword ptr ds:[66AB94] ; mcservU_.0066EFF4 0065A3A1 8B03 mov eax,dword ptr ds:[ebx] 0065A3A3 8B15 08076300 mov edx,dword ptr ds:[630708] ; mcservU_.00630754 0065A3A9 E8 5A52E2FF call mcservU_.0047F608 0065A3AE 8B0D 44AC6600 mov ecx,dword ptr ds:[66AC44] ; mcservU_.0066EFB8 0065A3B4 8B03 mov eax,dword ptr ds:[ebx] 0065A3B6 8B15 34D56200 mov edx,dword ptr ds:[62D534] ; mcservU_.0062D580 0065A3BC E8 4752E2FF call mcservU_.0047F608 0065A3C1 8B0D 34A96600 mov ecx,dword ptr ds:[66A934] ; mcservU_.0066EFFC 0065A3C7 8B03 mov eax,dword ptr ds:[ebx] 0065A3C9 8B15 B0326300 mov edx,dword ptr ds:[6332B0] ; mcservU_.006332FC 0065A3CF E8 3452E2FF call mcservU_.0047F608 0065A3D4 8B0D C0AB6600 mov ecx,dword ptr ds:[66ABC0] ; mcservU_.0066F038 0065A3DA 8B03 mov eax,dword ptr ds:[ebx] 0065A3DC 8B15 24616300 mov edx,dword ptr ds:[636124] ; mcservU_.00636170 0065A3E2 E8 2152E2FF call mcservU_.0047F608 0065A3E7 8B0D 9CA76600 mov ecx,dword ptr ds:[66A79C] ; mcservU_.0066F008 0065A3ED 8B03 mov eax,dword ptr ds:[ebx] 0065A3EF 8B15 54416300 mov edx,dword ptr ds:[634154] ; mcservU_.006341A0 0065A3F5 E8 0E52E2FF call mcservU_.0047F608 0065A3FA 8B0D 5CAA6600 mov ecx,dword ptr ds:[66AA5C] ; mcservU_.0066F010 0065A400 8B03 mov eax,dword ptr ds:[ebx] 0065A402 8B15 74456300 mov edx,dword ptr ds:[634574] ; mcservU_.006345C0 0065A408 E8 FB51E2FF call mcservU_.0047F608 0065A40D 8B0D E4AA6600 mov ecx,dword ptr ds:[66AAE4] ; mcservU_.0066EFE4 0065A413 8B03 mov eax,dword ptr ds:[ebx] 0065A415 8B15 B0006300 mov edx,dword ptr ds:[6300B0] ; mcservU_.006300FC 0065A41B E8 E851E2FF call mcservU_.0047F608 0065A420 8B0D F0A96600 mov ecx,dword ptr ds:[66A9F0] ; mcservU_.0066F018 0065A426 8B03 mov eax,dword ptr ds:[ebx] 0065A428 8B15 60506300 mov edx,dword ptr ds:[635060] ; mcservU_.006350AC 0065A42E E8 D551E2FF call mcservU_.0047F608 0065A433 8B0D E8AC6600 mov ecx,dword ptr ds:[66ACE8] ; mcservU_.0066F020 0065A439 8B03 mov eax,dword ptr ds:[ebx] 0065A43B 8B15 C8546300 mov edx,dword ptr ds:[6354C8] ; mcservU_.00635514 0065A441 E8 C251E2FF call mcservU_.0047F608 0065A446 8B0D 64AB6600 mov ecx,dword ptr ds:[66AB64] ; mcservU_.0066F028 0065A44C 8B03 mov eax,dword ptr ds:[ebx] 0065A44E 8B15 B8586300 mov edx,dword ptr ds:[6358B8] ; mcservU_.00635904 0065A454 E8 AF51E2FF call mcservU_.0047F608 0065A459 8B0D 04A96600 mov ecx,dword ptr ds:[66A904] ; mcservU_.0066F030 0065A45F 8B03 mov eax,dword ptr ds:[ebx] 0065A461 8B15 705C6300 mov edx,dword ptr ds:[635C70] ; mcservU_.00635CBC 0065A467 E8 9C51E2FF call mcservU_.0047F608 0065A46C 8B0D 68A76600 mov ecx,dword ptr ds:[66A768] ; mcservU_.0066EFDC 0065A472 8B03 mov eax,dword ptr ds:[ebx] 0065A474 8B15 88FA6200 mov edx,dword ptr ds:[62FA88] ; mcservU_.0062FAD4 0065A47A E8 8951E2FF call mcservU_.0047F608 0065A47F 8B0D DCAB6600 mov ecx,dword ptr ds:[66ABDC] ; mcservU_.0066EFEC 0065A485 8B03 mov eax,dword ptr ds:[ebx] 0065A487 8B15 10036300 mov edx,dword ptr ds:[630310] ; mcservU_.0063035C 0065A48D E8 7651E2FF call mcservU_.0047F608 0065A492 8B03 mov eax,dword ptr ds:[ebx] 0065A494 E8 EF51E2FF call mcservU_.0047F688 0065A499 5B pop ebx 0065A49A E8 21A3DAFF call mcservU_.004047C0 0065A49F 90 nop вход в первый кэлл 00943292 E8 F13DACFF call mcservU_.00407088 00943297 68 9618AF59 push 59AF1896 0094329C 5B pop ebx 0094329D E9 1DB80200 jmp mcservU_.0096EABF все что нам нужно дать eax пишем 00943287 55 push ebp 00943288 8BEC mov ebp,esp 0094328A 83C4 F0 add esp,-10 0094328D B8 D09B6500 mov eax,mcservU_.00659BD0 00943292 E8 F13DACFF call mcservU_.00407088 вот и вся распаковка скрипт отработал нормально VM OEP нашел за 30 секунд второй способ не намного дольше так как криптор здесь очень простой без особых подвохов, восстановив импорт прога запустилась без вопросов ! Вот и все YDS пишет: вышли на тропу войны. Буде весело Я не куда не выходил Ни кого не задираю Но подьебов притом пустых не понимаю! Повторю скрипт очень простой совершенно не зависит ни от версии ни от чего я специально не привязывал ни к сигнам ни к функциям
|
| << . 1 . 2 . |
|
eXeL@B —› Основной форум —› ExeCryptor OEP Finder Script |
Для печати