| Сейчас на форуме: bartolomeo, Adler, johnniewalker, NIKOLA, vasilevradislav (+6 невидимых) |
 |
eXeL@B —› Софт, инструменты —› Generic OEP Finder |
| . 1 . 2 . 3 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 12 февраля 2007 10:06 · Личное сообщение · #1 Написал тут очередной Generic OEP Finder. В отличии от других основан не на Debug API, а на инъекции своей библиотеки (так что если будет ругаться фаервол это нормально  ), поэтому можно обходить простую антиотладку, такую как в telock или yoda protector
 f6fb_12.02.2007_CRACKLAB.rU.tgz - GenOEPFinder.rar
 |
|
|
Создано: 12 февраля 2007 10:26 · Личное сообщение · #2 UsAr За старания респект!!!
А так не раб0тает 
Пр0б0вал на аспаке, упх, симплпаке(1 мет0д). 
|
|
|
Создано: 12 февраля 2007 10:29 · Личное сообщение · #3 sniperZ, а что за винда? я подозреваю что нигде кроме как на XP SP2 работать не будет
|
|
|
Создано: 12 февраля 2007 10:55 · Личное сообщение · #4 UsAr пишет: а что за винда? я подозреваю что нигде кроме как на XP SP2 работать не будет XP SP2
p.s. Home Edition, н0 0т эт0г0 ни чег0 не меняется.
|
|
|
Создано: 12 февраля 2007 10:55 · Поправил: VAD87 · Личное сообщение · #5 sniperZ пишет: За старания респект!!! А так не раб0тает угу, у меня тож, мож я не догнал как она пашет. Выбираеш в ней файл, она показывает разные куски кода, нажимаеш NEXT, она показывает следующий кусок кода программы. Причем, взял первыю попавшеюся прогу, понажимал NEXT, дык твой OEPFinder даже не показал кусок кода, с истенным OEP. Пробывал на WinUpack, ASPack, UPX, результат одит и тот же (( Система XP SP2 Pro |
|
|
Создано: 12 февраля 2007 10:56 · Поправил: Hellspawn · Личное сообщение · #6 на 2000 SP4 вылетает ашипка) и ничё не показывает... ----- [nice coder and reverser] |
|
|
Создано: 12 февраля 2007 11:09 · Поправил: UsAr · Личное сообщение · #7 VAD87 пишет: угу, у меня тож, мож я не догнал как она пашет. Выбираеш в ней файл, она показывает разные куски кода, нажимаеш NEXT, она показывает следующий кусок кода программы. Причем, взял первыю попавшеюся прогу, понажимал NEXT, дык твой OEPFinder даже не показал кусок кода, с истенным OEP. Пробывал на WinUpack, ASPack, UPX, результат одит и тот же (( Все правильно, так и должно быть, только истинный OEP должен был появится. Например на WinUpack.exe (0.39) оеп появляется на 9м next'e после большой паузы. Hellspawn пишет: на 2000 SP4 вылетает ашипка) и ничё не показывает... Ну там просто нет поддержки векторной обработки исключений, поэтому на 2k не работает |
|
|
Создано: 12 февраля 2007 11:25 · Поправил: VAD87 · Личное сообщение · #8 UsAr пишет: Все правильно, так и должно быть, только истинный OEP должен был появится. Например на WinUpack.exe (0.39) оеп появляется на 9м next'e после большой паузы. дык как раз после большой пузы прога запускается, и пока не одного раза, не на одной проге, GenOEPFinder не показал кусок кода, с истенным ОЕР (( добавил: Епт, на файле WinUpackR.exe (0,39) и правда после большой паузы показывает кусок с истенным ОЕР, мистика.... Зато на остальных прогах, которые я сам паковал, кусок с истенным ОЕР не показывает (( |
|
|
Создано: 12 февраля 2007 11:46 · Поправил: slip · Личное сообщение · #9 потестел на MEW =) OEP нашлась после 14 некста =) ЗЫ Если не ошибаюсь трюк с VirtualProtect/PAGE_GUARD и перехватом AddVectoredExceptionHandler. Был (есть) оепфайндер от deroko с перехватом KiUserExceptionDispatcher. |
|
|
Создано: 12 февраля 2007 12:10 · Личное сообщение · #10 slip пишет: Если не ошибаюсь трюк не ошибаешься... Hellspawn пишет: UsAr хех, пиши норм оер файндер... у меня где-то валялись наброски
почти всегда правильно находит, тока есть кое-где косяки... ----- [nice coder and reverser] |
|
|
Создано: 12 февраля 2007 12:20 · Личное сообщение · #11 на аспаке 38 некстов до OEP так и недошол устал указательный палец  прикрутить бы еще счетчик некстов этих или запись в лог последнего перед запуском. или хз...
|
|
|
Создано: 12 февраля 2007 15:58 · Поправил: UsAr · Личное сообщение · #12 Немного обновил. Добавил небольшую фильтрацию кода по OEP, так что окно должно появляться реже
Ну и счетчик добавил. cba0_12.02.2007_CRACKLAB.rU.tgz - GenOEPFinder.rar
|
|
|
Создано: 12 февраля 2007 16:03 · Поправил: slip · Личное сообщение · #13 на MEW сработал на 04 Нексте... мессаджбокс портет десегн, нельзя ли выводить этот текст в цветном окне? =) |
|
|
Создано: 12 февраля 2007 16:15 · Личное сообщение · #14 UsAr пишет Немного обновил. Добавил небольшую фильтрацию кода по OEP, так что окно должно появлятся реже Ну и счетчик добавил. во респект! теперь на 2 нексте OEP на аспаке да и считать удобние стало...
|
|
|
Создано: 12 февраля 2007 17:22 · Поправил: bash · Личное сообщение · #15 Red Bar0n пишет: устал указательный палец угу, UsAr, может какой-нить хоткей припаяешь для NEXT? А-то я на асме не в курсе как это сделать, а тем более куда это записать в твоих сырках. И ишо не плохо бы кнопку PREV
|
|
|
Создано: 12 февраля 2007 17:35 · Личное сообщение · #16 Хоткеи уже есть: F1 - YES, F2 - NEXT, F3 - ABOUT
А PREV это только чтобы результат предыдущий показывало, или чтобы по-новой запускало и трейсило до предыдущего результата? |
|
|
Создано: 12 февраля 2007 18:04 · Личное сообщение · #17 UsAr пишет: А PREV это только чтобы результат предыдущий показывало, или чтобы по-новой запускало и трейсило до предыдущего результата? А лучше 2 кнопки забабахать рестарт и прошлый результат. хоткей для NEXT лучше пробел сделать, а то F2 еще менее удобно мыша давить. |
|
|
Создано: 12 февраля 2007 18:41 · Поправил: bash · Личное сообщение · #18 UsAr пишет: А PREV это только чтобы результат предыдущий показывало, или чтобы по-новой запускало и трейсило до предыдущего результата? конечно для того чтоб показывало предыдущий результат, но поскольку для этого нужен повторный запуск и трейс, поэтому я и поржал , хотя можно и из памяти брать листинг (почему бы и нет?  )
Vovan666 пишет: хоткей для NEXT лучше пробел сделать +1 |
|
|
Создано: 13 февраля 2007 02:55 · Личное сообщение · #19 и на FSG 2.0 теперь сработала - респект! тока можно в диалог про дамп добавить инфу о смещении выбранного "OEP" для дампа можно и длину, если это не будет наглостью 
|
|
|
Создано: 13 февраля 2007 03:05 · Личное сообщение · #20 Хм... PEtools при этом полный дамп не может делать  - пачиму?
|
|
|
Создано: 13 февраля 2007 03:19 · Личное сообщение · #21 AlCr0 потому что вы неправельно юзаете тулз! после нахождения оеп нажать на yes сдампить востановить импорт теперь можно ножать на OK и ребилдеть ресурсы... |
|
|
Создано: 13 февраля 2007 03:21 · Поправил: LazzY · Личное сообщение · #22 нефарт :/ какието траблы при инжекте видимо. Запущеные изпод лоодера приложения все падают с кодом 80000001 который в к сожалению Not implemented. ( начиная с этого же лоодера пакованого упаком до здоровой дельфовой проги под упиксом все падает
|
|
|
Создано: 13 февраля 2007 04:23 · Личное сообщение · #23 Под XP SP2 не падает, под 2k SP4 - да есть такая хрень, но UsAr пишет: а что за винда? я подозреваю что нигде кроме как на XP SP2 работать не будет Red Bar0n так и робим, полный дамп не делает, выдает ошибку , зато вот "регион" или "частичный" - хоть скока.
UsAr Пользуясь случаем - может прикрутить ведение лога по остановкам? Потом удобно в олле бряки ставить, смотреть что там и как 
|
|
|
Создано: 13 февраля 2007 10:09 · Личное сообщение · #24 slip пишет: мессаджбокс портет десегн, нельзя ли выводить этот текст в цветном окне? =) Исправил Vovan666 пишет: А лучше 2 кнопки забабахать рестарт и прошлый результат. Что-то лень пока это делать, кода очень много прийдется добавлять, да и пока не придумал как можно нормально рестарт сделать
Vovan666 пишет: хоткей для NEXT лучше пробел сделать Сделал пробел, но он гад всегда хоткей перехватывает, даже если окно не активно. Никто не знает как исправить? AlCr0 пишет: тока можно в диалог про дамп добавить инфу о смещении выбранного "OEP" для дампа можно и длину, если это не будет наглостью эээ.... смещение OEP это которое в ImpRec прописывается? Такое добавил
А длина чего? LazzY пишет: какието траблы при инжекте видимо. Запущеные изпод лоодера приложения все падают с кодом 80000001 который в к сожалению Not implemented. ( А что за винда? Мне кажется, что это может быть из-за того что на некоторых виндах EntryPoint во время загрузки c CREATE_SUSPENDED не находится в eax. AlCr0 пишет: может прикрутить ведение лога по остановкам? добавил + еще немного улучшил фильтр dd30_13.02.2007_CRACKLAB.rU.tgz - GenOEPFinder.rar
|
|
|
Создано: 13 февраля 2007 11:11 · Личное сообщение · #25 UsAr xp pro sp2, работает без косяков. спасибо за тулзу
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 13 февраля 2007 12:26 · Личное сообщение · #26 UsAr пишет: + еще немного улучшил фильтр Что-то не так стало - проверил на той же проге (FSG) - теперь правильный ОЕР ненаходит, прога после первого "предположения" шпарит до полного запуска...
|
|
|
Создано: 13 февраля 2007 12:29 · Личное сообщение · #27 UsAr пишет: ведение лога по остановкам? добавил а куда она его кидает? |
|
|
Создано: 13 февраля 2007 15:05 · Личное сообщение · #28 AlCr0 пишет: проверил на той же проге (FSG) - теперь правильный ОЕР ненаходит, прога после первого "предположения" шпарит до полного запуска... всё отлично находится! |
|
|
Создано: 14 февраля 2007 01:14 · Личное сообщение · #29 Хм.. у меня находит OEP распаковщика, но не самой проги Прежняя версия давала распаковщику отработать и находила реальный ОЕР, а теперь она его пропускает. Надо бы еще попроверять и сравнить 2 версии с другими ... |
|
|
Создано: 14 февраля 2007 22:23 · Личное сообщение · #30 Вот еще немного обновил, да там был небольшой косяк в фильтре я пока этот кусок просто отключил
+ добавил лог GetProcAddress hxxp://usar.pp.ru/download/GenOEPFinder.rar |
| . 1 . 2 . 3 . >> |
|
eXeL@B —› Софт, инструменты —› Generic OEP Finder |
Для печати