| Сейчас на форуме: vsv1 (+4 невидимых) |
 |
eXeL@B —› Вопросы новичков —› распаовка yoda's cryptor 1.2 |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 08 марта 2006 12:49 · Личное сообщение · #1 программа(бот на л2) запакована yoda's cryptor 1.2 вот ссылка 61.152.90.188/eL2Walker10.6.4.zip поискал в инете нашел туторы как распаковывать 1,0 и 1,1 вручную, ничего не вышло, унпаки тоже не распаковывают. на форуме вроде был топик нащет этого, но так никто и не обьяснил как распаковывать этого йоду если кто распоковал, напишите как плз =)  |
|
|
Создано: 09 марта 2006 01:02 · Личное сообщение · #2 Блин, ты бы хоть размер написал - 3.6 Мб это немало... Вообщем скачал, посмотрел, OEP вроде 0042CDC0 а с импортом завтра разберусь 
----- Люблю повеселиться, особенно пожрать |
|
|
Создано: 09 марта 2006 07:26 · Личное сообщение · #3 Как раз занимался недавно.  7a47_yP_OEP_Finder_by_%5BPE_Kill%5D.osc.zip
----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 марта 2006 08:24 · Личное сообщение · #4 Извиняюсь, выше, это для yoda protector, а это для криптера. 953f_yC_OEP_Finder_by_%5BPE_Kill%5D.osc.zip
----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 марта 2006 16:23 · Личное сообщение · #5 PE_Kill пишет: Как раз занимался недавно. Ну незнаю, может скачаешь ради проверки скрипта эту прогу, а то с твоим скриптом она увела на 003200B0 и это место не очень похоже на OEP 
Правда и у меня не очень-то получается - я уже сам сомневаюсь в своём OEP 
----- Люблю повеселиться, особенно пожрать |
|
|
Создано: 09 марта 2006 16:41 · Личное сообщение · #6 Лады, щас проверю... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 марта 2006 17:05 · Личное сообщение · #7 Да, там действительно этими скриптами ничего не сделаешь. Делай так. Устанавливай все чекбоксы на вкладке exceptions вот так. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 марта 2006 17:07 · Личное сообщение · #8 |
|
|
Создано: 09 марта 2006 17:11 · Поправил: PE_Kill · Личное сообщение · #9 Затем жми F9 прога поколбасится и остановится на исключении "Array bounds exceeded". Затем ставь memory бряк на секцию кода и жми Shift + F9. Окажешься здесь: 004F3930 MOV EAX,L2Walker.00678F64 004F3935 PUSH EAX 004F3936 PUSH DWORD PTR FS:[0] 004F393D MOV DWORD PTR FS:[0],ESP 004F3944 XOR EAX,EAX 004F3946 MOV DWORD PTR DS:[EAX],ECX 004F3948 PUSH EAX 004F3949 INC EBP 004F394A INC EBX ----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 марта 2006 17:14 · Личное сообщение · #10 Несколько раз нажми F8 и упадешь в ntdll. Так как бряк с секции кода ты еще не снимал, то жми F9 пока не окажешься, где и был, только чуть ниже. Дотрассируй до инструкции jmp 004F393D MOV DWORD PTR FS:[0],ESP 004F3944 XOR EAX,EAX 004F3946 - JMP L2Walker.00678F87 <- До этой! 004F394B OUTS DX,DWORD PTR ES:[EDI] 004F394C INS DWORD PTR ES:[EDI],DX 004F394D JO SHORT L2Walker.004F39B0 ----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 марта 2006 17:16 · Личное сообщение · #11 Выполни ее и окажешься здесь: 00678F87 MOV EAX,F0677CE9 00678F8C POP DWORD PTR FS:[0] 00678F93 ADD ESP,4 00678F96 PUSH EBP 00678F97 PUSH EBX 00678F98 PUSH ECX 00678F99 PUSH EDI ----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 марта 2006 17:17 · Личное сообщение · #12 Теперь прокрути окно вниз и увидишь: 0067901E MOV EAX,ESI 00679020 POP EDX 00679021 POP ESI 00679022 POP EDI 00679023 POP ECX 00679024 POP EBX 00679025 POP EBP 00679026 JMP EAX <- Переход на OEP ! ----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 марта 2006 17:19 · Поправил: PE_Kill · Личное сообщение · #13 Выполни jmp eax и ты на OEP OEP: 4F3930. Теперь вводи его в Imprec - ImageBase и жми Iat AutoSearch, ну дальше думаю сам... 004F3930 PUSH 60 004F3932 PUSH L2Walker.00533DA8 004F3937 CALL L2Walker.004F7608 004F393C MOV EDI,94 004F3941 MOV EAX,EDI 004F3943 CALL L2Walker.004F7420 Да и вот, еще... Олька в какойто момент может заругаться на пошаговую трассировку, тогда просто выстави флаг T в 0. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 марта 2006 21:02 · Личное сообщение · #14 спасиб буду пробовать |
|
|
Создано: 19 марта 2006 21:06 · Личное сообщение · #15 Гранд мерси, PE_Kill ! Все получилось по твоему тутариалу. Теперь бы еще отучить walker 10.6.4 от Verify на его серваках, тоже интересная задачка, пока ее решают с помощью эмуляторов каких-то, но это неинтересно, пропатчить бы =) |
|
|
Создано: 29 марта 2006 22:44 · Личное сообщение · #16 |
|
|
Создано: 30 марта 2006 06:18 · Личное сообщение · #17 x-code а Trace level 1 пробовал делать? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 30 марта 2006 08:43 · Личное сообщение · #18 Я извиняюсь, с этой версией все отлично прошло eL2Walker10.6.4.zip, а вот eL2Walker10.4.1.zip импорт я прислал к этой версии. ОЕР быстрее находится F9 затем бряк на секцию кода и Shift+F9 и на ОЕР. Dump снимал PeTools'ом, LordPE какую ерунду снимает, дальше ImpREC все пробовал и Trace level 1. PEID показывает и тот, и тот yoda's cryptor 1.2 если что могу ссылку дать. |
|
|
Создано: 30 марта 2006 09:05 · Личное сообщение · #19 Ну давай, прям интересно стало. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 30 марта 2006 12:23 · Поправил: x-code · Личное сообщение · #20 _hxxp://webfile.ru/885238 |
|
|
Создано: 30 марта 2006 15:24 · Личное сообщение · #21 Да, тут действительно намудрили с импортом. Сейчас плагин к ImpREC'у дописываю. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 30 марта 2006 21:23 · Личное сообщение · #22 выложишь когда закончешь please... |
|
|
Создано: 03 апреля 2006 06:41 · Личное сообщение · #23 |
|
|
Создано: 06 апреля 2006 11:40 · Личное сообщение · #24 плагин рулит, сэнкс 
|
|
|
Создано: 28 апреля 2006 11:00 · Личное сообщение · #25 Всем привет, пытаюсь поворить выше описанное для 10.6.4. Открываю Olly в нем l2walker, ставлю настройки на вкладке exceptions, как на скриншоте, жму F9 После чего нигде дебаггер не тормозится, а просто умирает процесс В аттаче картинка. Может еще какие настройки надо поставить в Olly, или версия другая нужна? Olly 1.10 Win XP SP2 f1be_28.04.2006_CRACKLAB.rU.tgz - crash.jpg
|
|
|
Создано: 28 апреля 2006 11:51 · Личное сообщение · #26 Может он отладчик палит. У тебя плагины стоят, по скрытию отладчика? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 28 апреля 2006 13:07 · Личное сообщение · #27 Я вот тож подумал, у мну голый Olly Поищу плагины для олли, а для SoftIce это IceExt? (Там защита от отладчиков точно стоит, если запущен SI то прога не стартует) ЗЫ: www.openrce.org/downloads/browse/OllyDbg_Plugins IsDebuggerPresent - это то? |
|
|
Создано: 28 апреля 2006 13:08 · Личное сообщение · #28 Ой, есть статья по Олли http://www.exelab.ru/art/?action=view&id=284 Поставлю попробую, если что напишу. |
|
|
Создано: 28 апреля 2006 15:49 · Личное сообщение · #29 Да, это дерьмо палит айс и закрывается... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 22 мая 2006 23:55 · Поправил: Veliant · Личное сообщение · #30 У меня такой прикол в версии eL2Walker Free(да и в остальных тоже): Жму F9, ставлю бряк на доступ к секции code, жму Shift+F9 и я сразу выпадаю на OEP. Все функции резолвятся с помощью плагина, но две все таки не получается: вот первая (вероятно user32.dll:IsDlgButtonChecked) 003A014E 0000 ADD BYTE PTR DS:[EAX],AL
и вторая (вероятно user32.dll:CheckDlgButton) 003A0DF1 0000 ADD BYTE PTR DS:[EAX],AL
даже если это действительно эти функции, то все равно после приклеивания IAT к дампу он не запускается |
| . 1 . 2 . >> |
|
eXeL@B —› Вопросы новичков —› распаовка yoda's cryptor 1.2 |
Для печати