Kак вычислить OEP по адрессу из OllyDbg

Сейчас на форуме: padad42664, kris_sexy, site-pro, vasilevradislav (+7 невидимых)

Посл.ответ	Сообщение
Oldschool Ранг: 1.8 (гость) Активность: 0=0 Статус: Участник	Создано: 07 июля 2007 16:18 · Личное сообщение · #1 как вычислить OEP по адрессу из OllyDbg нужно ввести OEP в Import REConstructor 1.6 адрес OEP в OllyDbg = 7С810639

Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 07 июля 2007 16:19 · Поправил: Veliant · Личное сообщение · #2 Если это не длл то такого ОЕП не может быть....это адреса системных библиотек P.S. и вообще тема к новичкам
v0id2k Ранг: 221.3 (наставник), 135thx Активность: 0.19↘0.07 Статус: Участник	Создано: 07 июля 2007 17:18 · Личное сообщение · #3 Veliant пишет: это адреса системных библиотек +1 ----- xchg dword [eax], eax
FrenFolio Ранг: 340.0 (мудрец), 22thx Активность: 0.12↘0 Статус: Участник THETA	Создано: 07 июля 2007 20:32 · Поправил: FrenFolio · Личное сообщение · #4 Oldschool пишет: как вычислить OEP по адрессу из OllyDbg нужно ввести OEP в Import REConstructor 1.6 Адрес OEP который нужно ввести в поле ImpREC - относительный по отношению к Image Image распаковываемой проги. Поэтому его можно определить как разницу между тем, который виден в OllyDbg за минусом ImageBase. Например, OEP=403156 (реальный найденный адрес OEP распаковываемый проги), Image Base=400000. Поэтому RVA OEP=OEP-ImageBase=403156-400000=003156 - это число и надо ввести. Вот такая сложнейшая математика. Oldschool пишет: адрес OEP в OllyDbg = 7С810639 Такой адрес, начинающийся на цифру 7, может быть только для API-функций, находящихся в системных библиотеках. ----- Программист SkyNet
Executioner Ранг: 120.9 (ветеран), 5thx Активность: 0.08↘0 Статус: Участник Programmer and reverser	Создано: 07 июля 2007 21:02 · Личное сообщение · #5 Veliant пишет: такого ОЕП не может быть.... ] FrenFolio пишет: Такой адрес, начинающийся на цифру 7, может быть только для API-функций, находящихся в системных библиотеках. Oldschool Не слушай этот гон Может быть такая ОЕП. Смело отнимай Image Base и получишь EP RVA. З.Ы. Для неверующих прикрепляю файл с Image Base = 7C000000 101f_07.07.2007_CRACKLAB.rU.tgz - msgbox.exe ----- Уважайте других и пишите грамотно.
FrenFolio Ранг: 340.0 (мудрец), 22thx Активность: 0.12↘0 Статус: Участник THETA	Создано: 07 июля 2007 21:10 · Поправил: FrenFolio · Личное сообщение · #6 Executioner Убедил. Но видимо, встречается это довольно редко. Я лишь просто подразумевал распространенный вариант. ----- Программист SkyNet
Executioner Ранг: 120.9 (ветеран), 5thx Активность: 0.08↘0 Статус: Участник Programmer and reverser	Создано: 07 июля 2007 21:47 · Личное сообщение · #7 FrenFolio, Veliant А вот скомпилял бы я прогу с такой Image Base, навесил бы прот, а вы бы думали потом, что неправильно ОЕП нашли ИМХО, не знаете - не утверждайте так уж рьяно, не путайте других... ----- Уважайте других и пишите грамотно.
WarrioR Ранг: 52.6 (постоянный) Активность: 0.02↘0 Статус: Участник	Создано: 07 июля 2007 21:57 · Личное сообщение · #8 Oldschool пишет: адрес OEP в OllyDbg = 7С810639 При ImageBase 7C800000 приложение не запускается (OS : WinXP Pro SP2), а выводит сообщение : Системная библиотека kernel32.dll перемещена в памяти. Работа приложения будет нарушена. Перемещение произошло из-за того, что библиотека E:\Project1.exe заняла область адресов, зарезервированную для системных DLL Windows.
FrenFolio Ранг: 340.0 (мудрец), 22thx Активность: 0.12↘0 Статус: Участник THETA	Создано: 07 июля 2007 22:07 · Личное сообщение · #9 Становится все интереснее. Oldschool Может дашь линк на прогу? Чтобы разрешить сомнения. ----- Программист SkyNet
Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 07 июля 2007 22:09 · Личное сообщение · #10 Executioner пишет: А вот скомпилял бы я прогу с такой Image Base, навесил бы прот, а вы бы думали потом, что неправильно ОЕП нашли ИМХО, не знаете - не утверждайте так уж рьяно, не путайте других... Ладн уговорил) Это скорее частный случай т.к. до этого таких не встречал....
El_Diablo Ранг: 59.9 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 07 июля 2007 22:39 · Личное сообщение · #11 Executioner пишет: А вот скомпилял бы я прогу с такой Image Base Не думаю,что такое встречается на практике среди девелоперов паблик софта... Честно не встречал софт с такой Image Base
Executioner Ранг: 120.9 (ветеран), 5thx Активность: 0.08↘0 Статус: Участник Programmer and reverser	Создано: 07 июля 2007 22:43 · Личное сообщение · #12 WarrioR С базой 7C800000 - да. Но люди говорят о базах, начинающихся с 7. Oldschool Действительно, прогу в студию )) Veliant пишет: до этого таких не встречал.... link /SUBSYSTEM:WINDOWS /BASE:0x7C000000* /LIBPATH:c:\masm32\lib tratata.obj* и встретишь) ----- Уважайте других и пишите грамотно.
Spirit Ранг: 271.6 (наставник), 2thx Активность: 0.3↘0 Статус: Участник	Создано: 07 июля 2007 22:49 · Личное сообщение · #13 El_Diablo пишет: Не думаю,что такое встречается на практике среди девелоперов паблик софта... Честно не встречал софт с такой Image Base Ага, это секретный одэйный трик. Кстати такое фуфло в радмине было... ----- iNTERNATiONAL CoDE CReW
Executioner Ранг: 120.9 (ветеран), 5thx Активность: 0.08↘0 Статус: Участник Programmer and reverser	Создано: 07 июля 2007 22:55 · Личное сообщение · #14 главное, чтоб конец образа не вылазил за 7C800000, тогда все работает. З.Ы. Надоел этот топик))) ----- Уважайте других и пишите грамотно.
Bitfry Ранг: 495.3 (мудрец) Активность: 0.3↘0 Статус: Участник	Создано: 08 июля 2007 12:22 · Личное сообщение · #15 Executioner пишет: главное, чтоб конец образа не вылазил за 7C800000 Ух блин, извращенцы. На улице июль, девушки на пляже скучают, а они тут EP в жопу засовывают! Автор решил продолжать здесь: http://exelab.ru/f/action=vthread&forum=5&topic=9304 ----- Всем привет, я вернулся

Для печати