Написал тут очередной Generic OEP Finder. В отличии от других основан не на Debug API, а на инъекции своей библиотеки (так что если будет ругаться фаервол это нормально ), поэтому можно обходить простую антиотладку, такую как в telock или yoda protector


f6fb_12.02.2007_CRACKLAB.rU.tgz - GenOEPFinder.rar

| Сообщение посчитали полезным:

Гут! Работает!
теперь и дампится без ошибок
Респект!

| Сообщение посчитали полезным:

UsAr
Прога классная. А можешь еще добавить, чтобы можно было остановиться на заданной мной OEP? Получится вообще универсал.

| Сообщение посчитали полезным:

Вот так потихоньку, помаленьку ... и напишешь ты свой дебаггер

| Сообщение посчитали полезным:

AlCr0 пишет:
Вот так потихоньку, помаленьку ... и напишешь ты свой дебаггер
Да, было бы здорово... романтика!

ЗЫ: UsAr пора прикручивать generic import table rebuilder

| Сообщение посчитали полезным:

Пытался найти в AVI MPEG RM WMV Splitter v4.28... Слетела не третьем нексте... =/ А то что было после второго, на OEP не особо похоже...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula, чем пакована прога?

| Сообщение посчитали полезным:

sER пишет:
чем пакована прога?
Аспром или армой (не помню что на этой версии висит).

| Сообщение посчитали полезным:

Если аспр, то мог и ОЕР спереть - тогда никакой универсальный ОЕР finder ничего дельного тебе скорее всего не скажет.

| Сообщение посчитали полезным:

sERASProtect 2.1x SKE -> Alexey Solodovnikov
У меня ключик к ней есть... Но хоца крякнуть давно уже... Месяца три распаковать не могу... По туторам - нифига... С самого начала не сходиЦцо... Но это точно аспр...
Vovan666Они с 4 версии (раньше не знал о такой проге) аспром пакуют... При чём обычно одним из последних... 4.08 распаковывал спокойно... А эту не могу =(((

Если кому интересно повозиЦо - www.boilsoft.com/

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
ASProtect 2.1x SKE -> Alexey Solodovnikov

ASProtect 2.2 SKE build 04.25 | Release

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawnн-да... =(((

Чувствую, распаковать у меня её ещё не скоро получиЦцо... =(

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
Если кому интересно повозиЦо - www.boilsoft.com/
А с чем именно ты там возился? софтин там много

| Сообщение посчитали полезным:

2Bash:
Talula пишет:
Пытался найти в AVI MPEG RM WMV Splitter v4.28

| Сообщение посчитали полезным:

Hellspawn пишет:
ASProtect 2.2 SKE build 04.25 | Release
Какая точность... =)

bash пишет:
А с чем именно ты там возился? софтин там много
AVI MPEG RM WMV Splitter v4.28

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
Какая точность... =)

ASProtect detector by PE_Kill

| Сообщение посчитали полезным:

Блин, этот пробел только мешает
Я тут один пакер ковыряю - у меня там до оеп за 10 минут только доходит. Вот допустим сижу я в асе, болтаю пока до оеп идет - и т.к. я пишу со скоростью звука - когда прога доходит до оеп, а я нажимаю пробел - у меня оеп пролетает. Один, 3 или ДВА раза не страшно, но у меня такое уже раз 20 было - задолбался по 10 минут заново ждать... F2 имхо достаточно!

| Сообщение посчитали полезным:

UsAr writes:
Сделал пробел, но он гад всегда хоткей перехватывает, даже если окно не активно. Никто не знает как исправить?
Ну вообще я надеялся что кто-то знает. Меня тоже жутко раздражают такие вот хоткеи, поэтому для себя давно убрал.
Еще пофиксил баг, из-за которого импрек не мог нормально восстанавливать импорт. И баг из-за которого GetProcAddress.log был недоступен.
Обновленная версия все там же hxxp://usar.pp.ru/download/GenOEPFinder.rar
Кстати может кто знает как улучшить фильтр OEP?

| Сообщение посчитали полезным:

UsAr
пропали хоткеи F1, F2, F3

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS=
Это потому что я их удалил
Как не пытался сделать хоткеи локальными ничего не получается. WM_CHAR, WM_KEYDOWN, WM_KEYUP обрабатываться не хотят, а если использовать RegisterHotKey, то клавишы F1,F2,F2 не будут обрабатываться в других программах

Graviy
Можешь выслать этот пакер на yuzvir[at]gmail.com?

| Сообщение посчитали полезным:

UsAr пишет:
Как не пытался сделать хоткеи локальными ничего не получается. WM_CHAR, WM_KEYDOWN, WM_KEYUP обрабатываться не хотят, а если использовать RegisterHotKey, то клавишы F1,F2,F2 не будут обрабатываться в других программах

стукни в аську сегодня после 22 по-московскому... Исправим это недаразумение...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Всё, вместе с =TS=, решили проблему хоткеев.
Спасибо ему огромное
Обновленную версию брать там же

| Сообщение посчитали полезным:

UsAr
ЗЫ. ты забыл сказать, что можна прервать процесс определения OEP по F10 или AltF4...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

UsAr
UsAr пишет:
Graviy
Можешь выслать этот пакер на yuzvir[at]gmail.com?

Да файл тебе мало чем поможет. Там самописанный протектор интегрированный с ключом Guardant Stealth II (не путать с конвертом GSII). Exe из 2,7 Mb превращается в 7,9 Mb после распаковки. Та еще задница, но с напарником вдвоём практически уже справились - пришлось вручную восстанавливать порядка 400 функций импорта.. В общем без ключа на руках нечего там делать..

| Сообщение посчитали полезным:

Graviy пишет:
Та еще задница, но с напарником вдвоём практически уже справились - пришлось вручную восстанавливать порядка 400 функций импорта.
жжёшь мяс0.

| Сообщение посчитали полезным:

sniperZ
Я серьезно. Задача была бы наверное практически невыполнима, но к счастью есть дема, которая в распознавании большинства фукнций очень помогла.

| Сообщение посчитали полезным:

Graviy, из-за 400 функций можно было бы и плагин для импрека написать, не думаю что там что-то очень сложное

| Сообщение посчитали полезным:

UsAr
Не умею я для импрека плагины писать и не знаю возможно ли это было в данном случае. Но фукнции он интересно воровал. В таблице импорта адреса фукнций переписывал на секцию протектора - а там уже шла эмуляция оригинальных функций, т.е. не перенаправление в системные библиотеки, а полная эмуляция, т.е. полное повторение кода данной функции + немного разбавленная мусорными командами (типа обфускации) для усложнения распознавания.

| Сообщение посчитали полезным:

Graviy пишет:
а полная эмуляция, т.е. полное повторение кода данной функции + немного разбавленная мусорными командами (типа обфускации) для усложнения распознавания
Полная эмуляция тоже обходится, надо смотреть процедуру формирования импорта, ведь протектор то откуда то берет адреса и данные для этой эмуляции, вот тут то его и ловить

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Опять таки невозможно. Протектор наложили - после этого импорт уже изначально покоцан, т.е. где прот не тронул - импорт чистенький и прекрасно импреком восстанавливается, а в остальных функциях - прот выполняет фукнкции системных библиотек. Импорт не каждый раз формируется, а в нем уже всё сделано.
Smon пишет:
ведь протектор то откуда то берет адреса и данные для этой эмуляции, вот тут то его и ловить
Дык это делается на стадии защиты, а не при запуске. Код системных библиотек повторяется в проте на стадии защиты и т.о. для выполнения данных функций прога уже вообще не лезет в эти библиотеки.

| Сообщение посчитали полезным:

Graviy пишет:
Дык это делается на стадии защиты, а не при запуске. Код системных библиотек повторяется в проте на стадии защиты
Бред полный, такого не бывает (даже в фемиде с макс. виртуализацией апи). Если сделать так, то такая прога будет работать ИСКЛЮЧИТЕЛЬНО только на одной версии и билде windows. Учи матчасть
ЗЫ: Хотя конечно можно попробовать утянуть с защищенной прогой абсолютно все системные библиотеки... в том числе и ядро ))) только вот будет ли это работать, вот в чём вопрос

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным: