 |
eXeL@B —› Вопросы новичков —› Поиск ОЕP в армадилле |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 07 июля 2007 17:04 · Поправил: Oldschool · Личное сообщение · #1 Пытаюсь найти OEP в армадильной проге попадаю сюда 0094BF4B 83C4 14 ADD ESP,14 дальше через второй 0094C025 85C9 TEST ECX,ECX выхожу на 7C810639 55 PUSH EBP - это ОЕP? или я чегото не так сморозил? пишет: 0094BF4B 83C4 14 ADD ESP,14 0094BF4E B0 01 MOV AL,1 0094BF50 EB 02 JMP SHORT 0094BF54 0094BF52 32C0 XOR AL,AL 0094BF54 8BE5 MOV ESP,EBP 0094BF56 5D POP EBP 0094BF57 C3 RET 0094BF58 55 PUSH EBP 0094BF59 8BEC MOV EBP,ESP 0094BF5B 81EC 48010000 SUB ESP,148 0094BF61 C785 F8FEFFFF 2>MOV DWORD PTR SS:[EBP-108],00982824 ; ASCII "ArBase Bitmap Window" 0094BF6B C745 FC 0828980>MOV DWORD PTR SS:[EBP-4],00982808 ; ASCII "ArBase Test Bitmap Window" 0094BF72 8A45 14 MOV AL,BYTE PTR SS:[EBP+14] 0094BF75 A2 A4949800 MOV BYTE PTR DS:[9894A4],AL 0094BF7A 8A4D 10 MOV CL,BYTE PTR SS:[EBP+10] 0094BF7D 880D A5949800 MOV BYTE PTR DS:[9894A5],CL 0094BF83 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8] 0094BF86 8915 90949800 MOV DWORD PTR DS:[989490],EDX 0094BF8C 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C] 0094BF8F A3 8C949800 MOV DWORD PTR DS:[98948C],EAX 0094BF94 8B4D 18 MOV ECX,DWORD PTR SS:[EBP+18] 0094BF97 81E1 FF000000 AND ECX,0FF 0094BF9D 85C9 TEST ECX,ECX 0094BF9F 74 71 JE SHORT 0094C012 0094BFA1 8B55 14 MOV EDX,DWORD PTR SS:[EBP+14] 0094BFA4 81E2 FF000000 AND EDX,0FF 0094BFAA 85D2 TEST EDX,EDX 0094BFAC 75 64 JNZ SHORT 0094C012 0094BFAE C605 B1949800 0>MOV BYTE PTR DS:[9894B1],1 0094BFB5 FF15 3C209800 CALL DWORD PTR DS:[<&KERNEL32.GetTickCou>; kernel32.GetTickCount 0094BFBB 05 FA000000 ADD EAX,0FA 0094BFC0 8985 ECFEFFFF MOV DWORD PTR SS:[EBP-114],EAX 0094BFC6 68 A8949800 PUSH 009894A8 0094BFCB 6A 00 PUSH 0 0094BFCD 6A 00 PUSH 0 0094BFCF 68 A0C49400 PUSH 0094C4A0 0094BFD4 6A 00 PUSH 0 0094BFD6 6A 00 PUSH 0 0094BFD8 FF15 2C209800 CALL DWORD PTR DS:[<&KERNEL32.CreateThre>; kernel32.CreateThread 0094BFDE 50 PUSH EAX 0094BFDF FF15 E8209800 CALL DWORD PTR DS:[<&KERNEL32.CloseHandl>; kernel32.CloseHandle 0094BFE5 33C0 XOR EAX,EAX 0094BFE7 A0 B1949800 MOV AL,BYTE PTR DS:[9894B1] 0094BFEC 85C0 TEST EAX,EAX 0094BFEE 74 18 JE SHORT 0094C008 0094BFF0 FF15 3C209800 CALL DWORD PTR DS:[<&KERNEL32.GetTickCou>; kernel32.GetTickCount 0094BFF6 3B85 ECFEFFFF CMP EAX,DWORD PTR SS:[EBP-114] 0094BFFC 73 0A JNB SHORT 0094C008 0094BFFE 6A 01 PUSH 1 0094C000 FF15 A4219800 CALL DWORD PTR DS:[<&KERNEL32.Sleep>] ; kernel32.Sleep 0094C006 ^ EB DD JMP SHORT 0094BFE5 0094C008 B8 01000000 MOV EAX,1 0094C00D E9 4E020000 JMP 0094C260 0094C012 FF15 AC209800 CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; kernel32.GetCurrentThreadId 0094C018 A3 A8949800 MOV DWORD PTR DS:[9894A8],EAX 0094C01D 33C9 XOR ECX,ECX 0094C01F 8A0D B0949800 MOV CL,BYTE PTR DS:[9894B0] 0094C025 85C9 TEST ECX,ECX 0094C027 0F85 B7000000 JNZ 0094C0E4 0094C02D C785 C4FEFFFF 0>MOV DWORD PTR SS:[EBP-13C],0 0094C037 C785 C8FEFFFF 6>MOV DWORD PTR SS:[EBP-138],0094C264 0094C041 C785 CCFEFFFF 0>MOV DWORD PTR SS:[EBP-134],0 0094C04B C785 D0FEFFFF 0>MOV DWORD PTR SS:[EBP-130],0  |
|
|
Создано: 07 июля 2007 22:56 · Личное сообщение · #2 Oldschool Тут в листинге вроде нет перехода на ОЕР... Дай ссылку на сабж, а лучше на минимальный набор для запуска, постараюсь помочь  А чё за версия и какие дополнительные опции навешаны на ней?
----- Research For Food |
|
|
Создано: 07 июля 2007 22:58 · Поправил: VAD87 · Личное сообщение · #3 Oldschool пишет: Пытаюсь найти OEP в армадильной проге попадаю сюда 0094BF4B 83C4 14 ADD ESP,14 дальше через второй 0094C025 85C9 TEST ECX,ECX выхожу на 7C810639 55 PUSH EBP - это ОЕP? или я чегото не так сморозил? хм, если я сейчас не туплю, то ты не прав, попробуй проверить таким образом: Нажимает в оле Ctrl+G, вводим там CreateThread и нажимаем ок и ставим бряк на ближайший RETN, затем нажимаем Shift+F9 пока не прервемся на нашем бряке. После того как прервались, снимаем этот бряк и нажимаем F8 пока не дойдем до RETN, затем еще раз F8, скролим вниз, пока не найдем рядом два CALL ECX, ставим бряк на нижний и опять Shift+F9, после того, как прервемся на бряке, вправой колонке будет написан адрес ОЕР ;) Пока писал сообщение,daFix опередил)) daFix пишет: ай ссылку на сабж, а лучше на минимальный набор для запуска, постараюсь помочь А чё за версия и какие дополнительные опции навешаны на ней? +1 |
|
|
Создано: 08 июля 2007 00:09 · Личное сообщение · #4 Прогу в студию! |
|
|
Создано: 08 июля 2007 10:12 · Личное сообщение · #5 пытался работать по вот этому гиду, но ни х не получилось... tuts4you.com/download.php?view.1745 ArmaIntruder Analysys anonym.to/?http://www.tuts4you.com/...amp;hl=intruder Armadillo version: 4.66 Build date: 2007-02-10 05:18:58 OEP VA: 004EC9A2 Raw options: 00E3AA52 -=Protection=- Strategic Code Splicing enabled. Import Elimination enabled. Debug Blocker enabled. Nanomites enabled. Program Installer Download: stream.ifolder.ru/2600038 действовать по такому плану? 1. get past the debug blocker 2. Find 2 IATs and RETN on them 3. Get to the OEP 4. Unpack with ImpRec to defeat code splicing уточните план действия нюбу... |
|
|
Создано: 08 июля 2007 10:17 · Поправил: Oldschool · Личное сообщение · #6 VAD87 пишет: хм, если я сейчас не туплю, то ты не прав, попробуй проверить таким образом: Нажимает в оле Ctrl+G, вводим там CreateThread и нажимаем ок и ставим бряк на ближайший RETN, затем нажимаем Shift+F9 пока не прервемся на нашем бряке. После того как прервались, снимаем этот бряк и нажимаем F8 пока не дойдем до RETN, затем еще раз F8, скролим вниз, пока не найдем рядом два CALL ECX, ставим бряк на нижний и опять Shift+F9, после того, как прервемся на бряке, вправой колонке будет написан адрес ОЕР ;) это очень похоже на правду....буду пробовать... нажимаем ок и ставим бряк на ближайший RETN, hardware break через F2? |
|
|
Создано: 08 июля 2007 10:54 · Личное сообщение · #7 2VAD когда делаю так как ты говоришь, попадаю сюда: CALL ECX is missing.... 0094BFDE 50 PUSH EAX 0094BFDF FF15 E8209800 CALL DWORD PTR DS:[<&KERNEL32.CloseHandl>; kernel32.CloseHandle 0094BFE5 33C0 XOR EAX,EAX 0094BFE7 A0 B1949800 MOV AL,BYTE PTR DS:[9894B1] 0094BFEC 85C0 TEST EAX,EAX 0094BFEE 74 18 JE SHORT 0094C008 0094BFF0 FF15 3C209800 CALL DWORD PTR DS:[<&KERNEL32.GetTickCou>; kernel32.GetTickCount 0094BFF6 3B85 ECFEFFFF CMP EAX,DWORD PTR SS:[EBP-114] 0094BFFC 73 0A JNB SHORT 0094C008 0094BFFE 6A 01 PUSH 1 0094C000 FF15 A4219800 CALL DWORD PTR DS:[<&KERNEL32.Sleep>] ; kernel32.Sleep 0094C006 ^ EB DD JMP SHORT 0094BFE5 0094C008 B8 01000000 MOV EAX,1 0094C00D E9 4E020000 JMP 0094C260 0094C012 FF15 AC209800 CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; kernel32.GetCurrentThreadId 0094C018 A3 A8949800 MOV DWORD PTR DS:[9894A8],EAX 0094C01D 33C9 XOR ECX,ECX 0094C01F 8A0D B0949800 MOV CL,BYTE PTR DS:[9894B0] 0094C025 85C9 TEST ECX,ECX 0094C027 0F85 B7000000 JNZ 0094C0E4 0094C02D C785 C4FEFFFF 0>MOV DWORD PTR SS:[EBP-13C],0 0094C037 C785 C8FEFFFF 6>MOV DWORD PTR SS:[EBP-138],0094C264 0094C041 C785 CCFEFFFF 0>MOV DWORD PTR SS:[EBP-134],0 0094C04B C785 D0FEFFFF 0>MOV DWORD PTR SS:[EBP-130],0 0094C055 8B15 80949800 MOV EDX,DWORD PTR DS:[989480] ; HoldemIn.00400000 0094C05B 8995 D4FEFFFF MOV DWORD PTR SS:[EBP-12C],EDX 0094C061 C785 D8FEFFFF 0>MOV DWORD PTR SS:[EBP-128],0 0094C06B 33C0 XOR EAX,EAX 0094C06D A0 A4949800 MOV AL,BYTE PTR DS:[9894A4] 0094C072 F7D8 NEG EAX 0094C074 1BC0 SBB EAX,EAX 0094C076 24 FE AND AL,0FE 0094C078 05 027F0000 ADD EAX,7F02 0094C07D 50 PUSH EAX 0094C07E 6A 00 PUSH 0 0094C080 FF15 40229800 CALL DWORD PTR DS:[<&USER32.LoadCursorA>>; USER32.LoadCursorA 0094C086 8985 DCFEFFFF MOV DWORD PTR SS:[EBP-124],EAX 0094C08C C785 E0FEFFFF 0>MOV DWORD PTR SS:[EBP-120],0 0094C096 C785 E4FEFFFF 0>MOV DWORD PTR SS:[EBP-11C],0 0094C0A0 8B4D 14 MOV ECX,DWORD PTR SS:[EBP+14] 0094C0A3 81E1 FF000000 AND ECX,0FF 0094C0A9 85C9 TEST ECX,ECX 0094C0AB 74 0B JE SHORT 0094C0B8 0094C0AD 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4] 0094C0B0 8995 BCFEFFFF MOV DWORD PTR SS:[EBP-144],EDX 0094C0B6 EB 0C JMP SHORT 0094C0C4 0094C0B8 8B85 F8FEFFFF MOV EAX,DWORD PTR SS:[EBP-108] 0094C0BE 8985 BCFEFFFF MOV DWORD PTR SS:[EBP-144],EAX 0094C0C4 8B8D BCFEFFFF MOV ECX,DWORD PTR SS:[EBP-144] 0094C0CA 898D E8FEFFFF MOV DWORD PTR SS:[EBP-118],ECX 0094C0D0 8D95 C4FEFFFF LEA EDX,DWORD PTR SS:[EBP-13C] 0094C0D6 52 PUSH EDX 0094C0D7 FF15 4C229800 CALL DWORD PTR DS:[<&USER32.RegisterClas>; USER32.RegisterClassA 0094C0DD C605 B0949800 0>MOV BYTE PTR DS:[9894B0],1 0094C0E4 8B45 14 MOV EAX,DWORD PTR SS:[EBP+14] 0094C0E7 25 FF000000 AND EAX,0FF 0094C0EC 85C0 TEST EAX,EAX 0094C0EE 74 36 JE SHORT 0094C126 0094C0F0 C785 C0FEFFFF 0>MOV DWORD PTR SS:[EBP-140],0 0094C0FA EB 0F JMP SHORT 0094C10B 0094C0FC 8B8D C0FEFFFF MOV ECX,DWORD PTR SS:[EBP-140] 0094C102 83C1 01 ADD ECX,1 0094C105 898D C0FEFFFF MOV DWORD PTR SS:[EBP-140],ECX 0094C10B 81BD C0FEFFFF 0>CMP DWORD PTR SS:[EBP-140],100 0094C115 7D 0F JGE SHORT 0094C126 0094C117 8B95 C0FEFFFF MOV EDX,DWORD PTR SS:[EBP-140] |
|
|
Создано: 08 июля 2007 11:06 · Личное сообщение · #8 а может быть такое что там POP ECX а не CALL ECX 7C90EAD0 > 83C4 04 ADD ESP,4 7C90EAD3 5A POP EDX 7C90EAD4 64:A1 18000000 MOV EAX,DWORD PTR FS:[18] 7C90EADA 8B40 30 MOV EAX,DWORD PTR DS:[EAX+30] 7C90EADD 8B40 2C MOV EAX,DWORD PTR DS:[EAX+2C] 7C90EAE0 FF1490 CALL DWORD PTR DS:[EAX+EDX*4] 7C90EAE3 33C9 XOR ECX,ECX 7C90EAE5 33D2 XOR EDX,EDX 7C90EAE7 CD 2B INT 2B 7C90EAE9 CC INT3 7C90EAEA 8BFF MOV EDI,EDI 7C90EAEC > 8B4C24 04 MOV ECX,DWORD PTR SS:[ESP+4] 7C90EAF0 8B1C24 MOV EBX,DWORD PTR SS:[ESP] 7C90EAF3 51 PUSH ECX 7C90EAF4 53 PUSH EBX 7C90EAF5 E8 C78C0200 CALL 7C9377C1 7C90EAFA 0AC0 OR AL,AL 7C90EAFC 74 0C JE SHORT 7C90EB0A 7C90EAFE 5B POP EBX 7C90EAFF 59 POP ECX 7C90EB00 6A 00 PUSH 0 7C90EB02 51 PUSH ECX 7C90EB03 E8 11EBFFFF CALL ZwContinue 7C90EB08 EB 0B JMP SHORT 7C90EB15 7C90EB0A 5B POP EBX 7C90EB0B 59 POP ECX |
|
|
Создано: 08 июля 2007 17:55 · Личное сообщение · #9 Oldschool пишет: Armadillo version: 4.66 Build date: 2007-02-10 05:18:58 OEP VA: 004EC9A2 Raw options: 00E3AA52 -=Protection=- Strategic Code Splicing enabled. Import Elimination enabled. Debug Blocker enabled. Nanomites enabled. Oldschool пишет: уточните план действия нюбу... а не рано тебе за такие опции братся?) Если хочеш научится анпакать арму, бери опции полегче, если же надо кряк к проге, дай в запросы на взлом. Попробуй вкурить это: www.tlg.1gb.ru/temp/Armadillo_v4.хx_Unpacking_Tutorial_Minimum_Protection_Code_Splicing_IT_Elimination.rar Oldschool пишет: hardware break через F2? не хардварный, а обычный бряк ;) Oldschool пишет: а может быть такое что там POP ECX а не CALL ECX нет, там будет два CALL ECX, например так (взято из проги): CALL ECX JMP SHORT 00A88AC4 CMP EDX,1 JNZ SHORT 00A88AC7 PUSH DWORD PTR DS:[EDI+4] PUSH DWORD PTR DS:[EDI+8] PUSH 0 PUSH DWORD PTR DS:[EDI+C] MOV EDX,DWORD PTR DS:[EAX+90] XOR EDX,DWORD PTR DS:[EAX+40] XOR EDX,DWORD PTR DS:[EAX+4] SUB ECX,EDX CALL ECX ; CrackMe_.00401188 где надо ставить бряк на нижний из этих CALL ECX и когда прервешся на его бряке, возле будет написано ОЕР, т.к. в даной проге ОЕР=401188 прогу слил, только пока вообще нет времени глянуть ее(((( Кста, сперва надо деатачить процессы, затем разобратся с код сплитингом и ИАТ илюминейшен, а затем тока дампить, только про анти-дамп армы не забудь ;) |
|
|
Создано: 09 июля 2007 00:18 · Поправил: DrFits · Личное сообщение · #10 Арма через мьютексы работает с дебаг-блоком, ОЕП ищешь так, как VAD_87 писал,!!!!но только после того, как дебаг-блок отключишь!!!, проще использовать скрипт от fly (да и мэйджик джамп ненадо вручную искать), а для правки наномитов, iat redirection и код сплайсинга утилиту - ArmInline_v0.96, для правки PE заголовка файла - просто ставишь PE заголовок с запускаемого файла на диске, т.к. в памяти он изменён. Т.о. распаковывается в 1 проход. P.S: вручную такое сделать - сложнее гораздо, и по-времени дольше Программа распакованная (1.96 Mb): ТЫЦ http://rapidshare.com/files/41799699/nano.rar.html Пароль: <<%Cr@ckl@b_true_forum_1%>> Одно но - прога вылетает, интерестно где - сам смотри, я просто распаковал за 5 минут, т.к. щас время нету, то немогу глянуть, скорее всего - из-за того, что правильно неработает проверка ключа, т.е. параметры неверные обрабатываются. ----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 09 июля 2007 09:52 · Поправил: Oldschool · Личное сообщение · #11 VAD пишет:а не рано тебе за такие опции братся?) Если хочеш научится анпакать арму, бери опции полегче, если же надо кряк к проге, дай в запросы на взлом. Попробуй вкурить это: http://www.tlg.1gb.ru/temp/Armadillo_v4.хx_Unpacking_Tutorial_Minimum_ http://www.tlg.1gb.ru/temp/Armadillo_v4.хx_Unpacking_Tutorial_Minimum_ Protection_Code_Splicing_IT_Elimination.rar рано это не то слово...я полный нюб зелёный ....жизнь заставляет спс. за гид. буду учится DrFits пишет: Арма через мьютексы работает с дебаг-блоком, ОЕП ищешь так, как VAD_87 писал,!!!!но только после того, как дебаг-блок отключишь!!!, проще использовать скрипт от fly (да и мэйджик джамп ненадо вручную искать), а для правки наномитов, iat redirection и код сплайсинга утилиту - ArmInline_v0.96, для правки PE заголовка файла - просто ставишь PE заголовок с запускаемого файла на диске, т.к. в памяти он изменён. Т.о. распаковывается в 1 проход. слушай у меня есть все эти проги...кроме скрипт от fly ... можешь поподробней немного как гнать их по порядку DrFits пишет: Одно но - прога вылетает, интерестно где - сам смотри, я просто распаковал за 5 минут, т.к. щас время нету, то немогу глянуть, скорее всего - из-за того, что правильно неработает проверка ключа, т.е. параметры неверные обрабатываются. не настолько секу фишку к сожалению... именно по этому я пытаюсь распаковать свою прогу, после введению в нее ключа, который у меня есть... но её оказалось труднее рспаковать чем trial version trial я через dillodie 1.6 распаковал...а после введения ключа он её не берёт |
|
|
Создано: 09 июля 2007 10:25 · Личное сообщение · #12 DrFits Как ты восстанавливал наномиты? Я восстановил с помощью ArmInline v0.96, и прога у меня падала ещё в коде загрузщика... ----- Research For Food |
|
|
Создано: 09 июля 2007 12:37 · Личное сообщение · #13 daFix пишет: Как ты восстанавливал наномиты? Я восстановил с помощью ArmInline v0.96, и прога у меня падала ещё в коде загрузщика... - щас выкроил 5 минут, по-моему наномиты этой прогой криво восстановились, об этом свидетельствует число элементов в списке меню, и то, что прога вылетает. Так что мну неспрашивать про распаковку, это ведь 3-я прога которую я с армой посмотрел, и то - ниасилил  .
Наномиты чтоб верно восстановились надо прогу смотреть, а я сегодня вечером на 2 месяца уезжаю и небуду около компа вообще, так что будем надеятся что товарищ vel поделится ещё раз - как восстановить наномиты. ----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 09 июля 2007 13:52 · Личное сообщение · #14 Oldschool пишет: рано это не то слово...я полный нюб зелёный ....жизнь заставляет спс. за гид. буду учится да незашто, вот еще это для полных ньюбов повкуривай: dump.ru/files/g/g6302666349/ (1,7 Мб) Oldschool пишет: у меня есть все эти проги...кроме скрипт от fly ... можешь поподробней немного как гнать их по порядку ну дык сначала скрипт проганяеш, если его нету, то деаттачь процессы с помощью ArmaFP или ArmaDetach v1.2 (недавно тема была, где ее выкладывали) и потом фиксиш мэджик джамп в оле, снимаеш дамп (про анти-дамп не забываем ), ну а потом уже юзаеш ArmInline v0.96, как писал DrFits, обычно ArmInline норм восстанавливает наномиты, ну а раз он сейчас обламался, то:
DrFits пишет: будем надеятся что товарищ vel поделится ещё раз - как восстановить наномиты. |
|
|
Создано: 09 июля 2007 14:39 · Личное сообщение · #15 VAD87 пишет: DrFits пишет: будем надеятся что товарищ vel поделится ещё раз - как восстановить наномиты. в конце этого топа есть с картинками про ArmaInline Nanomites www.tuts4you.com/forum/s=2afe04fad64072441f42c7ee64bcf83b&showtopic=13084&st=15&start=15 |
|
|
Создано: 09 июля 2007 16:32 · Личное сообщение · #16 хм, проверил специально как написанно по ссылке - тоже неработает, пусть кто-нибудь выложит рабочую распакованную программу,тогда увидим что работает
----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 10 июля 2007 20:46 · Личное сообщение · #17 Эм, а где у вас прога вылетает? Скачал, распаковал, вроде нормально запускается, в триальном режиме, а вылетает у меня она при нажатии на кнопку Deal Random, но там как я понимаю из-за антиотладки - SetUnhandledExceptionFilter, я с этим ещё ни разу не сталкивался, пока не понял что и как там делать и при создании нового профиля - тут я пока вообще не понял почему, но вроде как не из-за наномитов, они везде на первый взгляд нормально обрабатываются... ----- Люблю повеселиться, особенно пожрать |
|
|
Создано: 14 июля 2007 08:30 · Поправил: Oldschool · Личное сообщение · #18 NEOPEX пишет: Эм, а где у вас прога вылетает? раскажи как делал а... помоему она вылетает т.к. при введение в прогу кода активации, она перестраивает себя. Без этой перестройки она только в триальном региме работает, который не является полноценным. чтоб работала нормально надо скардить ключ сначала...а потом распаковывать |
|
|
Создано: 14 июля 2007 14:31 · Личное сообщение · #19 Слушайте, а как вы ОЕР находили? Как VAD87 писал я вроде знаю этот метод. Но почему то не работает. По идее, после бряка на CreateThread и выхода по РЕТ мы оказываемя в таком коде:
Опять выходим по РЕТ и ищем два вызова ECX. А я после выхода оказываюсь в какой-то ж...е, где вызовами и не пахнет (простите за каламбур). Причем это только с версией 4.66 такое творится. Расскажите как вы искали ОЕР? |
|
|
Создано: 14 июля 2007 15:00 · Поправил: El_Diablo · Личное сообщение · #20 По идее, после бряка на CreateThread и выхода по РЕТ мы оказываемя в таком коде: Вроде надо ждать пока не появится окошко с сообщением ,там нажать ОК,прога остановится на Бряке в CreateThread и дальше все так как ты делаешь Вот тут все проги упакованы армой -> www.pokies4fun.com/ еще армы -> www.nhuntsoftware.biz/download.htm P.S.: в некоторых случаях call edi,тоже является вызовом ведущим на OEP |
|
|
Создано: 14 июля 2007 20:45 · Личное сообщение · #21 El_Diablo пишет: Вроде надо ждать пока не появится окошко с сообщением ,там нажать ОК,прога остановится на Бряке в CreateThread и дальше все так как ты делаешь Ну вообще да, но это зависит от опций армадиллы. При создании проэкта пользователь сам выбирает показывать это окно или нет, так что если этого окна нет, то можно пропустить этот шаг 
Sturgeon пишет: А я после выхода оказываюсь в какой-то ж...е Выложи листинг этой жопы и откроется тебе истина 
----- Research For Food |
|
|
Создано: 14 июля 2007 21:17 · Личное сообщение · #22 daFix пишет: Выложи листинг этой жопы и откроется тебе истина Хотелось бы. Прога из соседней ветки. slil.ru/24631042 624 кб Я армадиллу распаковывал один раз, и то по тутору. ОЕР нахожу так: Ctrl+G, в появившемся окне вписываю CreateThread и перехожу к этой функции. Ставлю бряк на РЕТ и Shift+F9. Попадаю на бряк снимаю его и жму Ф8. Тут по идее я должен попасть дальше в код, из которого опять надо выйти по РЕТ. А я попадаю в вообще непроанализированный Олей код. Жму Ctrl+A... и ни РЕТов, ни call ecx, ничего Вот коротенький листинг того места, куда я попадаю.
|
|
|
Создано: 14 июля 2007 21:27 · Личное сообщение · #23 Сюда по этому листингу тебе надо было начать искать OEP на следующей остановке на бряке =) |
|
|
Создано: 14 июля 2007 21:41 · Личное сообщение · #24 Брякается на CreateThread только один раз. |
|
|
Создано: 14 июля 2007 21:50 · Личное сообщение · #25 Этот файл вроде упакован с опцией debug Bloacker или CopeMem II во всяком случае скрипт по их детекту так говорит |
|
|
Создано: 14 июля 2007 22:04 · Личное сообщение · #26 Прога, которую здесь обсуждают, тоже вроде с этой опцией. См. пятый пост сверху. DrFits писал, что надо отключать дебаг-блок, перед тем как искать ОЕР. Что это такое и как это сделать? Как я понимаю это защита от отладки. Пробовал разные плагины для скрытия Оли. Не помогают
|
|
|
Создано: 14 июля 2007 22:12 · Поправил: El_Diablo · Личное сообщение · #27 Вот тут от Мефисто из ARTeam webfile.ru/1469251 |
|
|
Создано: 14 июля 2007 22:34 · Личное сообщение · #28 Sturgeon пишет: DrFits писал, что надо отключать дебаг-блок, перед тем как искать ОЕР. Что это такое и как это сделать? Как я понимаю это защита от отладки. Пробовал разные плагины для скрытия Оли. Не помогают нах скрытие? Тебе надо просто деаттачить процессы армы друг от друга и потом можеш брякнутся на ОЕР, дампить и т.д. Вот как это сделать, я писал: VAD87 пишет: ну дык сначала скрипт проганяеш, если его нету, то деаттачь процессы с помощью ArmaFP или ArmaDetach v1.2 (недавно тема была, где ее выкладывали) и потом фиксиш мэджик джамп в оле, снимаеш дамп |
|
|
Создано: 14 июля 2007 22:39 · Личное сообщение · #29 ну дык сначала скрипт проганяеш, если его нету, то деаттачь процессы с помощью ArmaFP или ArmaDetach v1.2 (недавно тема была, где ее выкладывали) По-моему для начинающего лучше всего руками всю эту тему прочувствовать,а потом уже юзать всякие тулзы...к тому же тутор очень простой Вообще MuP рулит |
|
|
Создано: 14 июля 2007 22:48 · Личное сообщение · #30 Sturgeon пишет: Пробовал разные плагины для скрытия Оли. Не помогают А что арма говорит? Sturgeon пишет: Как я понимаю это защита от отладки. Ты абсолютно прав. Арма проверяет запущена-ли прога, если нет, то она запускает себя ещё раз. Делает она это через функцию OpenMutexA. Тебе надо просто на втором срабатывании бряка на этой функции вернуть в регистре ЕАХ единицу, и всё будет гуд
----- Research For Food |
| . 1 . 2 . >> |
|
eXeL@B —› Вопросы новичков —› Поиск ОЕP в армадилле |
Для печати