 |
eXeL@B —› Вопросы новичков —› Старфорц 5 |
| Посл.ответ | Сообщение |
|
|
Создано: 15 апреля 2011 22:49 · Личное сообщение · #1 Небольшой вопросик по старфорцу 5.70.20.2(+) вобщем ревуршу его как и обычный 5.70 но без плагов на ЕП не попасть, а с фантоном или стронгом у меня сразу запускается приложение. Тестировал на нескольких приложения так что вариант "единичный" отпадает. Думал это эксепшены но приложение сразу запускает если к примеру поставить их пропуск в стронге. Вобщем поясните как на ЕП попасть в этой версии дальше уж сам как нибудь разберусь.  |
|
|
Создано: 16 апреля 2011 03:33 · Личное сообщение · #2 ALiBaBa есть игруха этой версии, такой проблемы нет. у меня по дефолту в стронге все опции включенны. в фантике ток protect drx. |
|
|
Создано: 16 апреля 2011 10:35 · Личное сообщение · #3 Выложил бы файлы. Для стара хватает галки пеб. Ну можно добавить пропуск исключений. Остальное лучше отключить. |
|
|
Создано: 16 апреля 2011 22:00 · Личное сообщение · #4 Я дожидался пока загрузится protect.dll и я попаду на EP, затем несколько step in и я оказывался внутри protect.dll. После этого ставил бряк на весь загруженный образ программы, т.е. на каждую секцию по-отдельности. Чтобы обойти антиотладку для моих бряков на память я перехватывал вызовы VirtualProtect и снимал все бряки на входе функции, ставил обратно на выходе. После запуска с пропуском исключений оказывался аккурат на OEP. Бряки у меня были на выполнение, я их с помощью хардварного DEP'a ставил из-под третьего кольца. Загрузчик был естественно самописным, зная OEP я под олей ставил хардварный бряк на выполнение на нужный адрес и все. Способ прокатывал на всех basic версиях что я встречал 5.0.7.4, 5.0.8.2, 5.0.8.5, 5.60.2.4, 5.60.2.8, 5.60.2.9, 5.70.4.0, 5.70.5.1, 5.70.7.2. |
|
|
Создано: 16 апреля 2011 22:17 · Личное сообщение · #5 SniperOK кажется вопрос был не про oep.  Nightshade прав. в игнор эксепшены и бряку на system breakpoint. shift+f9 и всё. |
|
|
Создано: 18 апреля 2011 09:52 · Личное сообщение · #6 Имеется ввиду, на ЕР protect.dll или на ЕР ехе-файла? Если на ЕР протекта, то метод прост чрезвычайно. После останова на system breakpoint попробуйте бряк на ZwMapViewOfSection, после того, как секция с ЕР будет промеппирована - ставьте аппаратный бряк прям на нужный адрес. Должно сработать, если юзаете фантик и стронг. Если на ЕР ехе-файла, то я уже говорил, что метод бряк на первой секции не работает 100% на всех запротекченых тулзах (в том же блокноте запротекченом, что по сети ходил, ЕР во второй секции), т.к. старфорс может разбить первую секцию на несколько. Попробуйте на вторую поставить бряк. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 18 апреля 2011 17:29 · Личное сообщение · #7 ARCHANGEL Есть линк на блокнот запротекченный? А по поводу ЕР в protect.dll можно еще проще поступить: в ntdll существует переходник в WinMain/DllMain образа, на него точку останова поставить и контролировать загружаемые дллки для образа(протект последняя или предпоследняя будет). |
|
|
Создано: 18 апреля 2011 17:42 · Личное сообщение · #8 На tuts4you лежит блокнот протекченый в разделе анпакмисов на сайте, он старый, давно валяется. |
|
|
Создано: 18 апреля 2011 19:37 · Личное сообщение · #9 Лучше его не смотреть. Слишком многое изменилось с тех дремучих лет |
|
|
Создано: 18 апреля 2011 21:31 · Личное сообщение · #10 Nightshade Интереса ради все же взгляну. Многое меняется, но часть остается и совершенствуется. |
|
|
Создано: 19 апреля 2011 02:30 · Личное сообщение · #11 OEP можно тулзой одной найти 
|
|
eXeL@B —› Вопросы новичков —› Старфорц 5 |
Для печати