Народ, подскажите универсалный метод нахожления OEP для различных пакеров и протекторов.Надо кажется ставить бряк на первую секцию, или нет?

| Сообщение посчитали полезным:

ну универсального...
снять дамп проги, и потом по сигнам найти там ОЕР...
ну можно ещё попробовыть HR ESP-4 (бряк в олли на доступ)
и отслеживать каждое срабатывание... и если опыт позволяет, то можно будет
визуально определить прыжок на ОЕР.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
ну можно ещё попробовыть HR ESP-4 (бряк в олли на доступ)
Не всегда срабатывает. А опыт еще не позволяет - не очень часто занимаюсь распаковкой, но иногда надо распаковать неизвестные пакеры...

| Сообщение посчитали полезным:

а что я могу ещё посоветовать... ну тогда трейс!
обходи все циклы, проверки (если есть) и будет тебе счастье...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

методов масса, например:
- бряк на одну из АПИ функций, обычно вызываемых при запуске проги (GetCommandLine|ModuleHandle,InitCommonControls etc)
- бряк на диапазон адресов, в которые попадает секция кода
- убирание аттрибуте writable у секций, не относящихся к пакеру - тут вообще раздолье, сразу видно, куда пакер пытается писать, что поритит и т.п. Для примера: аспр затирает 12 байт на точке входа, соответственно, если аттрибуты секции "только чтение" произойдёт останов в том месте, где аспр пытается зптирать байты, а после этого места идёт распаковка аспровой ДЛЛ, т.о. не нужно тупить с "как бараны давим Shift-F9"
- отлов запуска user32.dll (любой ф-ции) - если прога с GUI, то без неё никак - значит где-то в окрестностях можно искать точку входа проги
- трэйс (когда eip проверяется на соответствие определённому диапазону
- убирание нужной проге ДЛЛки: тогда ДЛЛ не будет найдена и будет выдано сообщение
- поиск явных следов компилятора (если прога MS VC, Dekphi etc)
- бряк на ThunRTMain если прога на VB
- использование скриптов для OllyScript
- проявляй фантазию

-----
EnJoy!

| Сообщение посчитали полезным: