.:help in find oep in programe packed with execrptor:.

Сейчас на форуме: rmn (+1 невидимый пользователь)

Посл.ответ	Сообщение
Ramiz Ранг: 11.6 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 05 июня 2007 18:34 · Личное сообщение · #1 When I make a break point on access. Code section, I see that 008C9055 AA STOS BYTE PTR ES:[EDI] 008C9056 ^ EB E9 JMP SHORT packed.008C9041 008C9058 E8 FC000000 CALL packed.008C9159 008C905D 0F82 97000000 JB packed.008C90FA ............... ............... ............... 008C9187 E8 CDFFFFFF CALL packed.008C9159 008C918C ^ 72 F2 JB SHORT packed.008C9180 008C918E C3 RETN 008C918F 8BE5 MOV ESP,EBP 008C9191 5D POP EBP 008C9192 C3 RETN --------------------- i make break point here after that i remove the break point and make break point in ACCESS .CODE SECTION AND PRESS SHIFT + F9 I AM HERE NOW 0071814E AC LODS BYTE PTR DS:[ESI] 0071814F D0E8 SHR AL,1 00718151 80F8 74 CMP AL,74 00718154 75 0E JNZ SHORT packed.00718164 00718156 8B06 MOV EAX,DWORD PTR DS:[ESI] 00718158 0FC8 BSWAP EAX 0071815A 01C8 ADD EAX,ECX 0071815C 8906 MOV DWORD PTR DS:[ESI],EAX 0071815E 83C6 04 ADD ESI,4 00718161 83E9 04 SUB ECX,4 00718164 49 DEC ECX 00718165 ^ 7F E7 JG SHORT packed.0071814E 00718167 59 POP ECX 00718168 5E POP ESI 00718169 C3 RETN ---------------------- MAKE BREAK POINT HERE SHIFT + F9 F7 I AM HERE 008CF8A9 58 POP EAX ; packed.0079B55E 008CF8AA E9 48000000 JMP packed.008CF8F7 008CF8AF E8 E4040000 CALL packed.008CFD98 008CF8B4 0000 ADD BYTE PTR DS:[EAX],AL 008CF8B6 ^ E9 65A3FFFF JMP packed.008C9C20 008CF8BB 0000 ADD BYTE PTR DS:[EAX],AL 008CF8BD ^ E9 D8B2FFFF JMP packed.008CAB9A 008CF8C2 0087 1C24870C ADD BYTE PTR DS:[EDI+C87241C],AL 008CF8C8 24 8B AND AL,8B 008CF8CA D959 E9 FSTP DWORD PTR DS:[ECX-17] 008CF8CD 76 48 JBE SHORT packed.008CF917 008CF8CF 0000 ADD BYTE PTR DS:[EAX],AL 008CF8D1 000B ADD BYTE PTR DS:[EBX],CL 008CF8D3 C1E9 55 SHR ECX,55 ; Shift constant out of range 1..31 008CF8D6 F1 INT1 I MAKE BREAK POINT ON ACCESS CODE SECTION AGEAN AND PRESS SHIFT+F9 AND IT IS BEAK HERE 008D6359 008D6341 55 PUSH EBP ---------------------THE CALL FOR THAT ADRESS FROM THAT LINE " 008D2558 E8 E43D0000 CALL packed.008D6341 " 008D6342 8BEC MOV EBP,ESP 008D6344 83C4 F4 ADD ESP,-0C 008D6347 56 PUSH ESI 008D6348 57 PUSH EDI 008D6349 53 PUSH EBX 008D634A BE 5D314800 MOV ESI,packed.0048315D 008D634F B8 00004000 MOV EAX,packed.00400000 ; ASCII "MZP" 008D6354 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 008D6357 89C2 MOV EDX,EAX 008D6359 8B46 0C MOV EAX,DWORD PTR DS:[ESI+C] ------------- I AM HERE 008D635C 09C0 OR EAX,EAX 008D635E 0F84 8E000000 JE packed.008D63F2 008D6364 01D0 ADD EAX,EDX 008D6366 89C3 MOV EBX,EAX 008D6368 50 PUSH EAX 008D6369 FF15 B4807100 CALL NEAR DWORD PTR DS:[<&kernel32.GetMo>; kernel32.GetModuleHandleA THAT THE CODESFOR CALL packed.008D6341 008D2528 ^\E9 B77BFFFF JMP packed.008CA0E4 008D252D 68 F9088D00 PUSH packed.008D08F9 008D2532 E9 6A140000 JMP packed.008D39A1 008D2537 00C3 ADD BL,AL 008D2539 0000 ADD BYTE PTR DS:[EAX],AL 008D253B 2E:F1 INT1 ; Superfluous prefix 008D253D F7C6 D3F472C8 TEST ESI,C872F4D3 008D2543 ^ E9 BAB7FFFF JMP packed.008CDD02 008D2548 ^ 0F8F A7D5FFFF JG packed.008CFAF5 008D254E 67:64:8F06 0000 POP DWORD PTR FS:[0] 008D2554 870424 XCHG DWORD PTR SS:[ESP],EAX 008D2557 58 POP EAX 008D2558 E8 E43D0000 CALL packed.008D6341 THE CALL FOR THE CODES BEFOURE 008D255D 68 5DF98C00 PUSH packed.008CF95D 008D2562 E9 78310000 JMP packed.008D56DF 008D2567 81F6 87868248 XOR ESI,48828687 008D256D ^ E9 08F2FFFF JMP packed.008D177A 008D2572 0000 ADD BYTE PTR DS:[EAX],AL 008D2574 870424 XCHG DWORD PTR SS:[ESP],EAX 008D2577 871C24 XCHG DWORD PTR SS:[ESP],EBX 008D257A 8BC3 MOV EAX,EBX 008D257C 5B POP EBX WHERE IS THE OEP ANY ONE CAN HELP ME ON THAT ?? AND IAT I CANNOT GET IT I THINK IT IS PROTECTED TOO THNX FOR ALL

FrenFolio Ранг: 340.0 (мудрец), 22thx Активность: 0.12↘0 Статус: Участник THETA	Создано: 05 июня 2007 18:50 · Личное сообщение · #2 Ramiz If you want any one can help you to unpack the program give the link for this program. ----- Программист SkyNet
Ramiz Ранг: 11.6 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 06 июня 2007 01:19 · Личное сообщение · #3 this programe packed plz help me to find the oep rapidshare.com/files/35461472/packed.rar thnx for all
r99 Ранг: 328.7 (мудрец), 73thx Активность: 0.17↘0.01 Статус: Участник	Создано: 06 июня 2007 01:40 · Личное сообщение · #4 1st call may be - call 406f54 so BP on 406f54 --> [esp]=n1 , eax=n2 oep: - anywhere mov eax,n2 call 406f54 jmp n1
Ramiz Ранг: 11.6 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 06 июня 2007 03:45 · Личное сообщение · #5 0063AAF3 894D 00 MOV DWORD PTR SS:[EBP],ECX 0063AAF6 - E9 8CEDF6FF JMP UFS_DCTx.005A9887 0063AAFB 81E2 AF4B3CB4 AND EDX,B43C4BAF 0063AB01 81C2 D32D10F0 ADD EDX,F0102DD3 0063AB07 9D POPFD 0063AB08 871424 XCHG DWORD PTR SS:[ESP],EDX 0063AB0B C3 RETN mr r99 thnx but i found that codes and in 0063ab08 (edx= 00406f54) , when retn we go to that codes 00406F54 53 PUSH EBX 00406F55 8BD8 MOV EBX,EAX 00406F57 33C0 XOR EAX,EAX 00406F59 A3 A4B05400 MOV DWORD PTR DS:[54B0A4],EAX 00406F5E 6A 00 PUSH 0 where is the oep what i must do ???
r99 Ранг: 328.7 (мудрец), 73thx Активность: 0.17↘0.01 Статус: Участник	Создано: 06 июня 2007 10:45 · Личное сообщение · #6 google-->delphi + exe -->....
Ramiz Ранг: 11.6 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 06 июня 2007 16:46 · Личное сообщение · #7 in another ver of the same programe unpaced the oep is 00504E48 > $ 55 PUSH EBP 00504E49 . 8BEC MOV EBP,ESP 00504E4B . 83C4 F0 ADD ESP,-10 00504E4E . B8 604B5000 MOV EAX,Dctx_Ufs.00504B60 00504E53 . E8 1C1BF0FF CALL protected.00406974 00504E58 . A1 D4C55000 MOV EAX,DWORD PTR DS:[50C5D4] 00504E5D . 8B00 MOV EAX,DWORD PTR DS:[EAX] 00504E5F . E8 042EF7FF CALL protected.00477C68 00504E64 . 8B0D 54C75000 MOV ECX,DWORD PTR DS:[50C754] ; protected.0051FBE4 that the oep in another ver 00504E48 of the same programe unpacked . help me please
r99 Ранг: 328.7 (мудрец), 73thx Активность: 0.17↘0.01 Статус: Участник	Создано: 06 июня 2007 21:06 · Личное сообщение · #8 rapidshare.com/files/35613790/UFS_DCTxBB5.zip.html - unpacked
Ramiz Ранг: 11.6 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 06 июня 2007 21:19 · Личное сообщение · #9 not working but thnx for ur help
Tim Ранг: 253.9 (наставник) Активность: 0.13↘0 Статус: Участник	Создано: 06 июня 2007 22:07 · Личное сообщение · #10 Ramiz wow, wow, wow! man, what do I see?? is this program related to cracking security codes in the new generation (BB5) of Nokia phones? I have such a phone! and I forgot the security code... I couldn't find any software to solve this problem. ----- MicroSoft? Is it some kind of a toilet paper?
Ramiz Ранг: 11.6 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 06 июня 2007 23:18 · Личное сообщение · #11 mr r99 thnx for ur help where did u placed the oep?
Ramiz Ранг: 11.6 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 07 июня 2007 20:25 · Личное сообщение · #12 mr r99 the unpacked file i can not see text refrance in olly and when i chike by RDG Packer Detector v0.6.5 Beta it sayes execriptor 2.2.6 and thnx for ur help
r99 Ранг: 328.7 (мудрец), 73thx Активность: 0.17↘0.01 Статус: Участник	Создано: 07 июня 2007 21:16 · Личное сообщение · #13 ftopku your RDG packer Detector! use PEid
Ramiz Ранг: 11.6 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 07 июня 2007 23:47 · Личное сообщение · #14 mr r99 when i make search for all referenced text strings in olly it did not give me any thing plz frind fix that or tell me how i can fix that in unpacked file thnx for u ;)
Ramiz Ранг: 11.6 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 08 июня 2007 18:08 · Личное сообщение · #15 mr r99 i want the unpacked i can make on it search for all referenced rext string plzzzzzzzzzzz help

Для печати