| Сейчас на форуме: igorcauret, Rio (+6 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Не могу найти точку входа OEP |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 18 марта 2015 15:52 · Личное сообщение · #1 Здравствуйте, не могу отучить программу от Hasp ключа. Делай вроде как учили PEid v0.95, говорит файл запакован UPolyX v0.5 *, отладкой Олли нашёл записи в стек регистров,причём не pushad, а 4 раза PUSH , затем начинает доставать из стека по одному значению и редактировать их (то складавая с целыми значениями,то делая логические сдвиги), затем записывает обратно в стек.Было найдено несколько условных JMP(JNE,JE), все адреса были проверены на точку входу, но увы не один дам не запустился.Что делаю не так, или вообще файл не запакован и я не туда копаю? Добавлено спустя 14 минут http://rusfolder.com/43240617 - Сама прога  |
|
|
Создано: 15 апреля 2015 13:05 · Личное сообщение · #2 Jmp должен быть непосредственно из SFX секции (секции протектора,как я понимаю, так как там EP проги) в секцию кода, а не из какой либо длл? Да и у меня нету секции .protect,но я так понимаю у меня она называется SFX??? |
|
|
Создано: 15 апреля 2015 13:09 · Поправил: ThugboyZ · Личное сообщение · #3 А при чем тут название секции ? Самораспаковывающаяся секция - это секция, с которой начинает работу упакованная программа.В ней располагается неоригинальная Entry Point.Управление в ней всегда передается программе, только нужно найти это место. |
|
|
Создано: 15 апреля 2015 13:15 · Личное сообщение · #4 да,это понятно. Но jmp будит из из секции самораспаковки, в секцию кода? не из кокой нить длл....Верно? Просто распаковщик обращается в множество длл... Добавлено спустя 1 минуту Обращения распаковщика к длл,меня не интересует, мне нужен именно переход из секции распаковки в секцию кода? |
|
|
Создано: 15 апреля 2015 13:23 · Личное сообщение · #5 Я про dll вообще ничего не писал.К ним обращение может быть только для активации защитных функций или при заполнении таблицы импорта. |
|
|
Создано: 15 апреля 2015 14:06 · Личное сообщение · #6 Да понятно,что не писали, в этом состоит мой вопрос. Мне нужен переход из секции самораспаковки в секцию кода напрямую,так???? Просто насколько я помню,есть переходы из секции самораспаковки, в длл, а потом из этих длл прыжок в секцию кода,эти переходы меня не интересуют,верно???????? |
|
|
Создано: 15 апреля 2015 14:37 · Личное сообщение · #7 Это не старфорс.Во всяком случае в том дистрибутиве, который Вы выкладывали, состоящем из одного единственного эксе, никаких dll не было и в память не извлекалось. |
|
|
Создано: 15 апреля 2015 14:52 · Личное сообщение · #8 ну да, там один exe. Тогда сегодня после 18-00 начну трассировать вручную, по результату отпишусь.Спасибо Добавлено спустя 3 часа 44 минуты При по шагавой отладке, из упаковщика она убегает вначале в ntdll,потом в kernel32, затем возвращается в секцию распаковщика и зависает(перестаёт реагировать на какие либо нажатия клавиш).Причём зависает на адресе,который просто поисковиком не находится(при старте) проги.Такое ощущение палится отладчик, пробывал с плагином IsDebugPresent,тоже самое. В чём может быть дело? И как можно попробывать действовать дальше? |
|
|
Создано: 15 апреля 2015 19:19 · Личное сообщение · #9 мессага после распаковки "Ключ защиты Sentinel HASP не найден (Н007)" кто-то пожал файло с конвертом хаспа своим протом =) секции .aks1, .aks2, .aks3 может wbaes мода Добавлено спустя 1 минуту лезет на 1947 порт лиц. менеджера ----- ...или ты работаешь хорошо, или ты работаешь много... |
|
|
Создано: 15 апреля 2015 19:29 · Личное сообщение · #10 Только там написано Sentimel  Да я давно анпакал.Там секция данных первая, а секция с кодом вторая.Импорт ущербно, но восстанавливается.Я лично не вижу смысла в ковырянии, так как у меня нет ключа хасп.
|
|
|
Создано: 15 апреля 2015 20:04 · Личное сообщение · #11 Всё прекрасно, как же мне быть с распаковкой этой всей богодельни. Ключ hasp у меня есть. Как мне определить что за свой прот,и как его снять? Добавлено спустя 3 минуты аааааа мессага после распаковки "Ключ защиты Sentinel HASP не найден (Н007)", это и есть место раскрытия своего прота???????? Правильно???? Добавлено спустя 4 минуты или я что-то не опнимаю Добавлено спустя 8 минут wbaes мода,это что значит? |
|
|
Создано: 15 апреля 2015 22:38 · Поправил: BfoX · Личное сообщение · #12 MrProxe wbaes мода,это что значит? ну а google почитать!? не? White-Box AES ----- ...или ты работаешь хорошо, или ты работаешь много... |
|
|
Создано: 16 апреля 2015 14:46 · Личное сообщение · #13 Почему дампы секций, до запуска проги и после вылета сообщения "Ключ защиты Sentinel HASP не найден (Н007)", если запускать без ключа, нечем не отличаются. То есть код не модифицируется,как же тогда распаковывается ручной прот? |
|
|
Создано: 16 апреля 2015 21:30 · Личное сообщение · #14 может это и конверт хаспа, просто поменяли имена 2-х первых секций =) ----- ...или ты работаешь хорошо, или ты работаешь много... |
|
|
Создано: 17 апреля 2015 16:26 · Поправил: unknownproject · Личное сообщение · #15 BfoX пишет: секции .aks1, .aks2, .aks3 может wbaes мода Там как бы куча .reloc секций и только .aks3 BfoX пишет: может это и конверт хаспа, просто поменяли имена 2-х первых секций =) А теперь посмотрите, на какую секцию указывает OEP ?.На вторую, а в первой нет кода, так что, даже если и поменяли имена секций, то поменяли и их содержимое.Мб это и особенность хаспа. ----- TEST YOUR MIGHT |
|
|
Создано: 20 апреля 2015 20:03 · Личное сообщение · #16 А я стесьняюсь, спросить а как вы нашли ОЕР без ключа? И поняли,что он указывает на вторую секцию? |
|
|
Создано: 20 апреля 2015 21:18 · Личное сообщение · #17 Я уже упоминал на предыдущей странице о том, что там был навесной упаковщик. ----- TEST YOUR MIGHT |
| << . 1 . 2 . |
|
eXeL@B —› Вопросы новичков —› Не могу найти точку входа OEP |
Для печати