Сейчас на форуме: asfa, _MBK_, Rio (+5 невидимых)

 eXeL@B —› Вопросы новичков —› Сигнатуры Delphi на OEP
Посл.ответ Сообщение

Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

 Создано: 10 ноября 2008 14:57
· Личное сообщение · #1

Срываю Obsidium без всяких туторов . Спёртые байты восстанавливал только исходя из стэка и изменения регистров. Вот что получилось:
55 8B EC B9 12 00 00 00 6A 00 6A 00 49 75 F9 6A 00 53 56 57 B8 0C 43 61 00

Похоже это на сигнатуру Delphi или нет? PEiD вроде палит Delphi. Просто не нашёл ни одной проги с подобными сигнатурами (ну там где в цикле push 0/push 0 делается). Помню что попадались такие. Как надо исправить эту сигнатуру чтобы точно было как в Delphi?




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 10 ноября 2008 15:22
· Личное сообщение · #2

Code:
  2. Listing: 
  3. 004071EC: 55                   push ebp
  4. 004071ED: 8BEC                 mov ebp, esp
  5. 004071EF: B905000000           mov ecx, 00000005h
  6. 004071F4: 6A00                 push 00000000h
  7. 004071F6: 6A00                 push 00000000h
  8. 004071F8: 49                   dec ecx
  9. 004071F9: 75F9                 jnz 4071F4h
  10. 004071FB: 53                   push ebx
  11. 004071FC: B8A4714000           mov eax, 004071A4h
  12. 00407201: E82ACAFFFF           call 00403C30h
  13. 00407206: BBB4964000           mov ebx, 004096B4h


вот с дельфи проги OEP как те нада

-----
[nice coder and reverser]

Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

 Создано: 10 ноября 2008 15:37 · Поправил: progopis
· Личное сообщение · #3

Hellspawn
Спасибо!
Уже нашёл родные байты (bpm esp-4 для OllyDbg):
в моём случае вот это
Code:
  1. jnz 4071F4h
  2. push ebx

выглядит вот так:
Code:
  1. jnz XXXXXXh
  2. push ecx
  3. push ebx
  4. push esi
  5. push edi


P.S. Тема закрыта.


 eXeL@B —› Вопросы новичков —› Сигнатуры Delphi на OEP
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати