Назначение, я думаю, понятно из названия.

* Программа поддерживает как x86, так и x64 исполняемые файлы. Работа программы была протестирована на всех операционных системах, указанных в соответствующем nfo.
* Программа позволяет работать с DLL. Для этого можно использовать либо встроенный auxiliary dll loader, либо родной загрузчик конкретной библиотеки, если таковой имеется.
* Программа требует прав администратора при старте.

Последнюю на данный момент версию можно скачать с нашего сайта по следующей ниже ссылке:

GeTaOEP 2.0 beta 9

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Нужная вещь, спасибо за обновление

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

тут использован тот самый эффективный метод поиска оеп ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
тут использован тот самый эффективный метод поиска оеп ?
...эффективный метод(если ты про то) относится чисто к securom'у.Здесь же используется,так сказать,generic метод.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

ну сделали бы memo или 2 editbox (чтобы не переписывать циферки постоянно)
не так же ведь и трудно
и ещё косяк, не выгружает подопытного
он висит и грузит на 50-99% проц (WinXP SP2)

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

DillerInc пишет:
Выкладываю обновление
Фенькс, погоняем...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Isaev пишет:
ну сделали бы memo или 2 editbox (чтобы не переписывать циферки постоянно)
...если так будет удобней,то можно сделать.
Isaev пишет:
он висит и грузит на 50-99% проц
...тут так и задумано.Может кто-то захочет потрогать зацикленный образ в памяти,сдампить его,например.
Однако,если народ будет настаивать,то можно оформить иначе.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc пишет:
Может кто-то захочет потрогать зацикленный образ в памяти,сдампить его,например.
можно кнопочку сделать, типа зациклить, а по-умолчанию выгружать

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

DillerInc Какая нибудь особенность от других генериков ? Просто интересно , я так понял там что то новое

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak, всё на самом деле очень примитивно
Я вроде когда-то говорил тут на форуме,по какому принципу работает программа.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

На одной из жертв "приблизительным OEP" считалось место сразу после GetStartupInfoA. Это типа один из методов обнаружения? Ставим бряк на стандартные входные функи и смотрим адрес возрата?

| Сообщение посчитали полезным:

Тогда уж лучше поставить хук на конец GetModuleHandle и сверять eax со своим ImageBase, но всё это идиотизм, т.к. практический толк от такого софта стремится к нулю

-----
Shalom ebanats!

| Сообщение посчитали полезным:

progopis пишет:
Ставим бряк на стандартные входные функи и смотрим адрес возрата?
...я же говорил,что всё очень просто.
SLV пишет:
Тогда уж лучше поставить хук на конец GetModuleHandle и сверять eax со своим ImageBase
...бред.Будешь тогда работать только на определённых билдах kernel32.Далее причём здесь свой ImageBase?Прот сам может сотни раз вызывать функцию следующим образом:
invoke GetModuleHandle, 0
SLV пишет:
но всё это идиотизм, т.к. практический толк от такого софта стремится к нулю
...звёзды мне подсказывают,что многие с тобой не согласятся.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc, давай с фактами, обоснуй почему будет работать "на определённых билдах kernel32". Разве PEB так часто меняется?
> Прот сам может сотни раз вызывать
и что дальше? Каждое такое место будет потенциально близким к oep.

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV пишет:
т.к. практический толк от такого софта стремится к нулю
дык не юзай. Есть программы вообще с одним MessageBoxA и сам прот забирает N*4 байт из стэка - любой универсальный метод идёт лесом.

| Сообщение посчитали полезным:

SLV пишет:
т.к. практический толк от такого софта стремится к нулю

Главное преимущество этой тулзы - она проходит почти все антиотладочные приемы и добирается до OEP.

Вместо пустых слов, приведите лучше пример, где тулза не сработает и толк будет стремится к нулю Таким образом поможете автору развивать тулзу.

| Сообщение посчитали полезным:

DillerInc
Взял тестовую прогу UnPackMe_ExeCryptor2.1.20.j.exe запустил, OEP вприципе верно нашел, там как раз спертый код пропустил. после мессаджа твоя прога закрылась, а тестовая прога осталась висеть, при этом жрать 50% проца ( это хорошо что у меня 2-х ядерный ). видимо плохо киляешь процесс.

| Сообщение посчитали полезным:

RSI
--> Ответ <--

| Сообщение посчитали полезным:

RSI

Више DillerInc писал ответ почему комп грузит
Isaev пишет:
он висит и грузит на 50-99% проц
...тут так и задумано.Может кто-то захочет потрогать зацикленный образ в памяти,сдампить его,например.
Однако,если народ будет настаивать,то можно оформить иначе.

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

понял. сорри, че-то с утра плохо читаю ))

| Сообщение посчитали полезным:

Вообщето тузлу делали под securoms ;)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
Изначально, да. Сейчас, если я не ошибаюсь, здесь обсуждается совсем другая программа.

| Сообщение посчитали полезным:

SLV пишет:
Разве PEB так часто меняется?
...ты мне предлагаешь перехватывать обращение к PEB'у?
В данном случае,это подобно удалению гланд через задний проход.Гораздо проще,а главное эффективнее поставить простой сплайс на нужные функции.И нужным образом обрабатывать перехват.
Поэтому лучше ты обоснуй свой вариант.
SLV пишет:
Каждое такое место будет потенциально близким к oep.
...похоже,ты далёк от реальности.

Сейчас я намерен приделать туда диалог,где по-умолчанию будет выставлена галка "Automatically kill target process when done".Ну,и в EDIT будет выводится лог.

ClockMan пишет:
Вообщето тузлу делали под securoms ;)
...я уже не помню,для чего я её изначально делал

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc посмотри как работает GetModuleHandle когда HMODULE = 0. Про перехват обращения я не сказал ничего. Я про установку хука в конец функции. Или проще поставить хук на начало GetModuleHandle и сравнивать адрес возврата с границами секции кода при 0 в аргументе. Но всё равно универсально такое не сделаешь, про протекторы хз, но если рассматривать реальное применение в универсальном движке, то это будет 50/50.

-----
Shalom ebanats!

| Сообщение посчитали полезным:

СэЛоВэ, не докапывайтесь до софта. GetModuleHandle в длл не робит. Да и эмулиться он может. И вызываться много раз. А тут бряк на несколько функций сразу. Никто не обещает, что работать будет в 100% со всеми протами, а на практике даёт вполне неплохой результат.

| Сообщение посчитали полезным:

Archer пишет:
а на практике даёт вполне неплохой результат.

+1

| Сообщение посчитали полезным:

В длл можно DisableThreadLibraryCalls попробовать

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Обновление.
Как я и говорил,был добавлен диалог.Теперь можно управлять судьбой целевого процесса с помощью галки "Automatically kill target process when done", которая по-умолчанию отмечена.Информация выводится в виде лога.
В библиотеке была добавлена версионная информация.Следите,чтобы эта версия соответствовала версии основного приложения.
SLV пишет:
В длл можно DisableThreadLibraryCalls попробовать
...спасибо,добавил.Пускай будет небольшая оптимизация.

471d_16.07.2009_CRACKLAB.rU.tgz - GeTaOEP1005.rar

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Спасибо Диллеру за утилиту. Жаль со стариком не прокатывает

| Сообщение посчитали полезным:

DillerInc
Еще раз большое спасибо за классную тулзу! Есть еще не большое пожелание включить в программы поддержку Drag and Drop. Спасибо

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным: