Сейчас на форуме: rmn (+1 невидимый пользователь)

 eXeL@B —› WorldWide —› .:help in find oep in programe packed with execrptor:.
Посл.ответ Сообщение

Ранг: 11.6 (новичок)
Активность: 0.010
Статус: Участник

Создано: 05 июня 2007 18:34
· Личное сообщение · #1

When I make a break point on access. Code section, I see that

008C9055 AA STOS BYTE PTR ES:[EDI]
008C9056 ^ EB E9 JMP SHORT packed.008C9041
008C9058 E8 FC000000 CALL packed.008C9159
008C905D 0F82 97000000 JB packed.008C90FA
...............
...............
...............
008C9187 E8 CDFFFFFF CALL packed.008C9159
008C918C ^ 72 F2 JB SHORT packed.008C9180
008C918E C3 RETN
008C918F 8BE5 MOV ESP,EBP
008C9191 5D POP EBP
008C9192 C3 RETN --------------------- i make break point here

after that i remove the break point and make break point in ACCESS .CODE SECTION AND PRESS SHIFT + F9
I AM HERE NOW

0071814E AC LODS BYTE PTR DS:[ESI]
0071814F D0E8 SHR AL,1
00718151 80F8 74 CMP AL,74
00718154 75 0E JNZ SHORT packed.00718164
00718156 8B06 MOV EAX,DWORD PTR DS:[ESI]
00718158 0FC8 BSWAP EAX
0071815A 01C8 ADD EAX,ECX
0071815C 8906 MOV DWORD PTR DS:[ESI],EAX
0071815E 83C6 04 ADD ESI,4
00718161 83E9 04 SUB ECX,4
00718164 49 DEC ECX
00718165 ^ 7F E7 JG SHORT packed.0071814E
00718167 59 POP ECX
00718168 5E POP ESI
00718169 C3 RETN ---------------------- MAKE BREAK POINT HERE

SHIFT + F9
F7
I AM HERE

008CF8A9 58 POP EAX ; packed.0079B55E
008CF8AA E9 48000000 JMP packed.008CF8F7
008CF8AF E8 E4040000 CALL packed.008CFD98
008CF8B4 0000 ADD BYTE PTR DS:[EAX],AL
008CF8B6 ^ E9 65A3FFFF JMP packed.008C9C20
008CF8BB 0000 ADD BYTE PTR DS:[EAX],AL
008CF8BD ^ E9 D8B2FFFF JMP packed.008CAB9A
008CF8C2 0087 1C24870C ADD BYTE PTR DS:[EDI+C87241C],AL
008CF8C8 24 8B AND AL,8B
008CF8CA D959 E9 FSTP DWORD PTR DS:[ECX-17]
008CF8CD 76 48 JBE SHORT packed.008CF917
008CF8CF 0000 ADD BYTE PTR DS:[EAX],AL
008CF8D1 000B ADD BYTE PTR DS:[EBX],CL
008CF8D3 C1E9 55 SHR ECX,55 ; Shift constant out of range 1..31
008CF8D6 F1 INT1



I MAKE BREAK POINT ON ACCESS CODE SECTION AGEAN AND PRESS SHIFT+F9 AND IT IS BEAK HERE 008D6359


008D6341 55 PUSH EBP ---------------------THE CALL FOR THAT ADRESS FROM THAT LINE " 008D2558 E8 E43D0000 CALL packed.008D6341 "

008D6342 8BEC MOV EBP,ESP
008D6344 83C4 F4 ADD ESP,-0C
008D6347 56 PUSH ESI
008D6348 57 PUSH EDI
008D6349 53 PUSH EBX
008D634A BE 5D314800 MOV ESI,packed.0048315D
008D634F B8 00004000 MOV EAX,packed.00400000 ; ASCII "MZP"
008D6354 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
008D6357 89C2 MOV EDX,EAX
008D6359 8B46 0C MOV EAX,DWORD PTR DS:[ESI+C] ------------- I AM HERE
008D635C 09C0 OR EAX,EAX
008D635E 0F84 8E000000 JE packed.008D63F2
008D6364 01D0 ADD EAX,EDX
008D6366 89C3 MOV EBX,EAX
008D6368 50 PUSH EAX
008D6369 FF15 B4807100 CALL NEAR DWORD PTR DS:[<&kernel32.GetMo>; kernel32.GetModuleHandleA


THAT THE CODESFOR CALL packed.008D6341

008D2528 ^\E9 B77BFFFF JMP packed.008CA0E4
008D252D 68 F9088D00 PUSH packed.008D08F9
008D2532 E9 6A140000 JMP packed.008D39A1
008D2537 00C3 ADD BL,AL
008D2539 0000 ADD BYTE PTR DS:[EAX],AL
008D253B 2E:F1 INT1 ; Superfluous prefix
008D253D F7C6 D3F472C8 TEST ESI,C872F4D3
008D2543 ^ E9 BAB7FFFF JMP packed.008CDD02
008D2548 ^ 0F8F A7D5FFFF JG packed.008CFAF5
008D254E 67:64:8F06 0000 POP DWORD PTR FS:[0]
008D2554 870424 XCHG DWORD PTR SS:[ESP],EAX
008D2557 58 POP EAX
008D2558 E8 E43D0000 CALL packed.008D6341 THE CALL FOR THE CODES BEFOURE
008D255D 68 5DF98C00 PUSH packed.008CF95D
008D2562 E9 78310000 JMP packed.008D56DF
008D2567 81F6 87868248 XOR ESI,48828687
008D256D ^ E9 08F2FFFF JMP packed.008D177A
008D2572 0000 ADD BYTE PTR DS:[EAX],AL
008D2574 870424 XCHG DWORD PTR SS:[ESP],EAX
008D2577 871C24 XCHG DWORD PTR SS:[ESP],EBX
008D257A 8BC3 MOV EAX,EBX
008D257C 5B POP EBX

WHERE IS THE OEP ANY ONE CAN HELP ME ON THAT ?? AND IAT I CANNOT GET IT I THINK IT IS PROTECTED TOO
THNX FOR ALL




Ранг: 340.0 (мудрец), 22thx
Активность: 0.120
Статус: Участник
THETA

Создано: 05 июня 2007 18:50
· Личное сообщение · #2

Ramiz
If you want any one can help you to unpack the program give the link for this program.

-----
Программист SkyNet




Ранг: 11.6 (новичок)
Активность: 0.010
Статус: Участник

Создано: 06 июня 2007 01:19
· Личное сообщение · #3

this programe packed plz help me to find the oep
rapidshare.com/files/35461472/packed.rar

thnx for all




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 06 июня 2007 01:40
· Личное сообщение · #4

1st call may be - call 406f54
so BP on 406f54 --> [esp]=n1 , eax=n2

oep: - anywhere
mov eax,n2
call 406f54
jmp n1



Ранг: 11.6 (новичок)
Активность: 0.010
Статус: Участник

Создано: 06 июня 2007 03:45
· Личное сообщение · #5

0063AAF3 894D 00 MOV DWORD PTR SS:[EBP],ECX
0063AAF6 - E9 8CEDF6FF JMP UFS_DCTx.005A9887
0063AAFB 81E2 AF4B3CB4 AND EDX,B43C4BAF
0063AB01 81C2 D32D10F0 ADD EDX,F0102DD3
0063AB07 9D POPFD
0063AB08 871424 XCHG DWORD PTR SS:[ESP],EDX
0063AB0B C3 RETN

mr r99 thnx but
i found that codes and in 0063ab08 (edx= 00406f54) , when retn we go to that codes

00406F54 53 PUSH EBX
00406F55 8BD8 MOV EBX,EAX
00406F57 33C0 XOR EAX,EAX
00406F59 A3 A4B05400 MOV DWORD PTR DS:[54B0A4],EAX
00406F5E 6A 00 PUSH 0

where is the oep what i must do ???




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 06 июня 2007 10:45
· Личное сообщение · #6

google-->delphi + exe -->....



Ранг: 11.6 (новичок)
Активность: 0.010
Статус: Участник

Создано: 06 июня 2007 16:46
· Личное сообщение · #7

in another ver of the same programe unpaced the oep is

00504E48 > $ 55 PUSH EBP
00504E49 . 8BEC MOV EBP,ESP
00504E4B . 83C4 F0 ADD ESP,-10
00504E4E . B8 604B5000 MOV EAX,Dctx_Ufs.00504B60
00504E53 . E8 1C1BF0FF CALL protected.00406974
00504E58 . A1 D4C55000 MOV EAX,DWORD PTR DS:[50C5D4]
00504E5D . 8B00 MOV EAX,DWORD PTR DS:[EAX]
00504E5F . E8 042EF7FF CALL protected.00477C68
00504E64 . 8B0D 54C75000 MOV ECX,DWORD PTR DS:[50C754] ; protected.0051FBE4

that the oep in another ver 00504E48 of the same programe unpacked .
help me please




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 06 июня 2007 21:06
· Личное сообщение · #8

rapidshare.com/files/35613790/UFS_DCTxBB5.zip.html - unpacked



Ранг: 11.6 (новичок)
Активность: 0.010
Статус: Участник

Создано: 06 июня 2007 21:19
· Личное сообщение · #9

not working but thnx for ur help



Ранг: 253.9 (наставник)
Активность: 0.130
Статус: Участник

Создано: 06 июня 2007 22:07
· Личное сообщение · #10

Ramiz
wow, wow, wow! man, what do I see?? is this program related to cracking security codes in the new generation (BB5) of Nokia phones? I have such a phone! and I forgot the security code... I couldn't find any software to solve this problem.

-----
MicroSoft? Is it some kind of a toilet paper?




Ранг: 11.6 (новичок)
Активность: 0.010
Статус: Участник

Создано: 06 июня 2007 23:18
· Личное сообщение · #11

mr r99 thnx for ur help
where did u placed the oep?



Ранг: 11.6 (новичок)
Активность: 0.010
Статус: Участник

Создано: 07 июня 2007 20:25
· Личное сообщение · #12

mr r99 the unpacked file i can not see text refrance in olly and when i chike by RDG Packer Detector v0.6.5 Beta
it sayes execriptor 2.2.6
and thnx for ur help




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 07 июня 2007 21:16
· Личное сообщение · #13

ftopku your RDG packer Detector!
use PEid



Ранг: 11.6 (новичок)
Активность: 0.010
Статус: Участник

Создано: 07 июня 2007 23:47
· Личное сообщение · #14

mr r99
when i make search for all referenced text strings in olly it did not give me any thing plz frind fix that or tell me how i can fix that in unpacked file thnx for u ;)



Ранг: 11.6 (новичок)
Активность: 0.010
Статус: Участник

Создано: 08 июня 2007 18:08
· Личное сообщение · #15

mr r99
i want the unpacked i can make on it search for all referenced rext string plzzzzzzzzzzz help


 eXeL@B —› WorldWide —› .:help in find oep in programe packed with execrptor:.
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати