| Сейчас на форуме: Rio (+5 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Защита книг от BookBiz |
| Посл.ответ | Сообщение |
|
|
Создано: 03 августа 2008 10:05 · Личное сообщение · #1 Есть книга запакованая BookBiz-ом. PEiD показывает что exe-ник запакован PEStubOEP 1.6 -> GPcH Soft [Overlay] При но OEP выдает не верное. Есть у кого-нибудь наработки в этой теме?  |
|
|
Создано: 03 августа 2008 11:02 · Личное сообщение · #2 jaboko пишет: exe-ник запакован не надо придумывать) PEStubOEP никогда ничего не покавал, просто ставил фейковые сигны, довольно просто распознать. ----- may all your PUSHes be POPed! |
|
|
Создано: 03 августа 2008 11:04 · Поправил: daFix · Личное сообщение · #3 jaboko Ну во первых выложи саму книгу, без неё трудно будет что либо сказать... PEStubOEP 1.6 -> GPcH Soft [Overlay] это вроди бы просто пакер, так что найти OEP и руками будет не сложно. Поправочка! Как сказал Guru_eXe, это даже и не пакер))) ----- Research For Food |
|
|
Создано: 03 августа 2008 11:48 · Личное сообщение · #4 Ну было бы всё так просто, я бы и не ломился на форум 
Вот книжка. rapidshare.com/files/134483925/voda-book.exe.html Посмотрите плиз ) А уже голову поломал.. |
|
|
Создано: 03 августа 2008 13:51 · Личное сообщение · #5 jaboko Книжка защищена двумя слоями, сверху наверное PEStubOEP 1.6 -> GPcH Soft [Overlay], а под ним какой-то странный PECompact. ----- Research For Food |
|
|
Создано: 03 августа 2008 16:30 · Личное сообщение · #6 OEP вроде такое 00530198 55 PUSH EBP 00530199 8BEC MOV EBP,ESP 0053019B 83C4 F0 ADD ESP,-10 0053019E B8 78FC5200 MOV EAX,voda-boo.0052FC78 005301A3 E8 086DEDFF CALL voda-boo.00406EB0 005301A8 A1 78A45300 MOV EAX,DWORD PTR DS:[53A478] 005301AD 8B00 MOV EAX,DWORD PTR DS:[EAX] 005301AF E8 A4F8F3FF CALL voda-boo.0046FA58 005301B4 A1 78A45300 MOV EAX,DWORD PTR DS:[53A478] 005301B9 8B00 MOV EAX,DWORD PTR DS:[EAX] 005301BB 33D2 XOR EDX,EDX 005301BD E8 8EF4F3FF CALL voda-boo.0046F650 чета с Imp не получаетцо. |
|
|
Создано: 03 августа 2008 17:32 · Личное сообщение · #7 ОЕП такое. А с импортом то что там не так, обычный ПЕКомпакт, простейшие переходники+2 эмуленых функи GetProcAddress. Для компакта есть плаг для импрека. Хотя хз, накой распаковывать, там оверлей и привязка к размеру файла и тд-гемору больше будет править это всё. |
|
|
Создано: 03 августа 2008 19:28 · Личное сообщение · #8 во-во, у меня то же самое получалось, но импорты зафиксить не удалось ну если распаковывать нет смысла, тогда кей-ген сделать можно? |
|
|
Создано: 03 августа 2008 20:55 · Личное сообщение · #9 Можно, разрешаю. Топай в запросы на взлом или выкладывай, что сделал сам. Вряд ли без валидной пары анпакнешь. |
|
|
Создано: 04 августа 2008 03:32 · Личное сообщение · #10 jaboko пишет: но импорты зафиксить не удалось А там и не надо ни чего фиксить ;) обычный ПЕКомпакт даже импрека не нужно. Сама оболочка без проблем запускается , та ботва что внутри, покриптована по ключу в оверлее |
|
|
Создано: 04 августа 2008 17:08 · Личное сообщение · #11 И вправду народ даже интересно как такое ломается?? Максимум что смог сделать это найти такие ключи которые удовлетворяют всем требованиям проверки кроме последней... Если последняя проверка не проходит то пишет типа что срок годности ключа вышел обратитесь за новым.. Как понял из нашего ключа два раза делается какойто промежуточный ключ/хэш и если часть его(6 байт) совпадает то тогда проверка пройдет... опять же максимум нашел такой ключ при которых он все проверки проходит и в последней 4 байта из шести совпадает должно быть FFB0D1 а нашел такие FFB0AB 9DF840670000004DA5F83067
Или я не в том направлении копаю и можно как то снять не находя ключ? |
|
|
Создано: 04 августа 2008 19:38 · Личное сообщение · #12 В общем как понял бесполезное занятие т.к. брутить md5 который используется несколько раз это унреал |
|
eXeL@B —› Вопросы новичков —› Защита книг от BookBiz |
Для печати