 |
eXeL@B —› Вопросы новичков —› Поиск ОЕP в армадилле |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 07 июля 2007 17:04 · Поправил: Oldschool · Личное сообщение · #1 Пытаюсь найти OEP в армадильной проге попадаю сюда 0094BF4B 83C4 14 ADD ESP,14 дальше через второй 0094C025 85C9 TEST ECX,ECX выхожу на 7C810639 55 PUSH EBP - это ОЕP? или я чегото не так сморозил? пишет: 0094BF4B 83C4 14 ADD ESP,14 0094BF4E B0 01 MOV AL,1 0094BF50 EB 02 JMP SHORT 0094BF54 0094BF52 32C0 XOR AL,AL 0094BF54 8BE5 MOV ESP,EBP 0094BF56 5D POP EBP 0094BF57 C3 RET 0094BF58 55 PUSH EBP 0094BF59 8BEC MOV EBP,ESP 0094BF5B 81EC 48010000 SUB ESP,148 0094BF61 C785 F8FEFFFF 2>MOV DWORD PTR SS:[EBP-108],00982824 ; ASCII "ArBase Bitmap Window" 0094BF6B C745 FC 0828980>MOV DWORD PTR SS:[EBP-4],00982808 ; ASCII "ArBase Test Bitmap Window" 0094BF72 8A45 14 MOV AL,BYTE PTR SS:[EBP+14] 0094BF75 A2 A4949800 MOV BYTE PTR DS:[9894A4],AL 0094BF7A 8A4D 10 MOV CL,BYTE PTR SS:[EBP+10] 0094BF7D 880D A5949800 MOV BYTE PTR DS:[9894A5],CL 0094BF83 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8] 0094BF86 8915 90949800 MOV DWORD PTR DS:[989490],EDX 0094BF8C 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C] 0094BF8F A3 8C949800 MOV DWORD PTR DS:[98948C],EAX 0094BF94 8B4D 18 MOV ECX,DWORD PTR SS:[EBP+18] 0094BF97 81E1 FF000000 AND ECX,0FF 0094BF9D 85C9 TEST ECX,ECX 0094BF9F 74 71 JE SHORT 0094C012 0094BFA1 8B55 14 MOV EDX,DWORD PTR SS:[EBP+14] 0094BFA4 81E2 FF000000 AND EDX,0FF 0094BFAA 85D2 TEST EDX,EDX 0094BFAC 75 64 JNZ SHORT 0094C012 0094BFAE C605 B1949800 0>MOV BYTE PTR DS:[9894B1],1 0094BFB5 FF15 3C209800 CALL DWORD PTR DS:[<&KERNEL32.GetTickCou>; kernel32.GetTickCount 0094BFBB 05 FA000000 ADD EAX,0FA 0094BFC0 8985 ECFEFFFF MOV DWORD PTR SS:[EBP-114],EAX 0094BFC6 68 A8949800 PUSH 009894A8 0094BFCB 6A 00 PUSH 0 0094BFCD 6A 00 PUSH 0 0094BFCF 68 A0C49400 PUSH 0094C4A0 0094BFD4 6A 00 PUSH 0 0094BFD6 6A 00 PUSH 0 0094BFD8 FF15 2C209800 CALL DWORD PTR DS:[<&KERNEL32.CreateThre>; kernel32.CreateThread 0094BFDE 50 PUSH EAX 0094BFDF FF15 E8209800 CALL DWORD PTR DS:[<&KERNEL32.CloseHandl>; kernel32.CloseHandle 0094BFE5 33C0 XOR EAX,EAX 0094BFE7 A0 B1949800 MOV AL,BYTE PTR DS:[9894B1] 0094BFEC 85C0 TEST EAX,EAX 0094BFEE 74 18 JE SHORT 0094C008 0094BFF0 FF15 3C209800 CALL DWORD PTR DS:[<&KERNEL32.GetTickCou>; kernel32.GetTickCount 0094BFF6 3B85 ECFEFFFF CMP EAX,DWORD PTR SS:[EBP-114] 0094BFFC 73 0A JNB SHORT 0094C008 0094BFFE 6A 01 PUSH 1 0094C000 FF15 A4219800 CALL DWORD PTR DS:[<&KERNEL32.Sleep>] ; kernel32.Sleep 0094C006 ^ EB DD JMP SHORT 0094BFE5 0094C008 B8 01000000 MOV EAX,1 0094C00D E9 4E020000 JMP 0094C260 0094C012 FF15 AC209800 CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; kernel32.GetCurrentThreadId 0094C018 A3 A8949800 MOV DWORD PTR DS:[9894A8],EAX 0094C01D 33C9 XOR ECX,ECX 0094C01F 8A0D B0949800 MOV CL,BYTE PTR DS:[9894B0] 0094C025 85C9 TEST ECX,ECX 0094C027 0F85 B7000000 JNZ 0094C0E4 0094C02D C785 C4FEFFFF 0>MOV DWORD PTR SS:[EBP-13C],0 0094C037 C785 C8FEFFFF 6>MOV DWORD PTR SS:[EBP-138],0094C264 0094C041 C785 CCFEFFFF 0>MOV DWORD PTR SS:[EBP-134],0 0094C04B C785 D0FEFFFF 0>MOV DWORD PTR SS:[EBP-130],0  |
|
|
Создано: 14 июля 2007 23:53 · Поправил: VAD87 · Личное сообщение · #2 млин, опять кнопки цитата и личное сообщение пропали(( А что арма говорит? как я понял, он пытался заюзать разные плаги для скрытия оли, чтобы снять дебаг блокер  Т.к. анти-отладка в арме галимая, юзается IsDebugPresent и больше ниче ;) и любой плаг для скрытия оли обходит эту анти-отладку))
По-моему для начинающего лучше всего руками всю эту тему прочувствовать,а потом уже юзать всякие тулзы полностью согласен, но всеж мона и автоматику поюзать ;) P.S. хм, правка на моем посте появилась, но кнопки ЛС так и нету(( |
|
|
Создано: 15 июля 2007 11:03 · Личное сообщение · #3 Про то, что это не просто защита от тладчика я уже понял. Простым спрятыванием Оли ничего не добиться. Но чего-то никак у меня не получается. Сначала делаю по статье от Mephisto Бряк на WriteProcessMemory. Вписываем EB FE и зацикливаем дочерний процесс. Потом бряк на WaitForDebugEvent. Выходим по РЕТ и вписывам PUSH PID/CALL DebugActiveProcessStop. После выполнения этих двух команд запускаем вторую олю и аттачимся к дочернему процессу. Меняем первые байты обратно на 60 Е8. Вроде как дебаг-блок мы обошли. В дочернем процессе ставим бряк на CreateThread. Брякаемся... И выходим в той же заднице, что и раньше... daFix пишет: на втором срабатывании бряка на этой функции вернуть в регистре ЕАХ единицу Тоже пробовал, но после этого у меня получается, что дочерний процесс не запускается. К чему тогда цепляться? |
|
|
Создано: 15 июля 2007 13:26 · Личное сообщение · #4 Вписываем EB FE и зацикливаем дочерний процесс. Вписывать это надо при втором останове на ЧWriteProcessmemory |
|
|
Создано: 15 июля 2007 13:48 · Личное сообщение · #5 Да, я в курсе. Первый раз буфер WriteProcessmemory указывает куда-то в стек. А второй раз на начало дочернего процесса. Вопрос: мы ставим бряк на CreateThread в дочернем процесе? Блин, вроде все понятно, а как начинаешь делать, так хрен получается  .
|
|
|
Создано: 15 июля 2007 14:20 · Поправил: El_Diablo · Личное сообщение · #6 Ставишь в дочернем процессе бряк на ret в CreateThread Запускаешь с Shift+F9,он срабатывает,но это не то,еще раз Shift+F9 опять срабатывает,вот и дальше уже отсюда ищешь OEP Тут арма с Code Splicing'ом по ходу |
|
|
Создано: 15 июля 2007 14:33 · Личное сообщение · #7 El_Diablo пишет: Я распаковал... В смысле VBAPass.exe? Мля, у меня только один раз брякается на CreateThread. А если нажать Shift+F9, то прога запускается
|
|
|
Создано: 15 июля 2007 19:06 · Личное сообщение · #8 Блин. Чего то я совсем туплю. Скачал анпакми с армой. Думал на нем потренироваться. Такая же фигня
А вы попадаете как в туторе на такое место? 5E POP ESI C9 LEAVE C3 RETN Или у вас тоже по другому? |
|
|
Создано: 15 июля 2007 19:16 · Поправил: El_Diablo · Личное сообщение · #9 webfile.ru/1469659 -> keygenme упакованный армой с минимальной защитой З.Ы.:поставь плагин HideDebugger |
|
|
Создано: 15 июля 2007 19:44 · Личное сообщение · #10 El_Diablo пишет: keygenme упакованный армой с минимальной защитой Не вопрос! За двадцать секунд нашел ОЕР. Все в точности как в туторах от VAD87. Но тут и версия 4.3 А заморочки, значит, только с версией 4.66. Прога, которую обсуждают в топике, я как понял она тоже с 4.66 армой? В ней ОЕР находится также как в туторах? |
|
|
Создано: 15 июля 2007 23:23 · Личное сообщение · #11 Но тут и версия 4.3 А заморочки, значит, только с версией 4.66. Прога, которую обсуждают в топике, я как понял она тоже с 4.66 армой? В ней ОЕР находится также как в туторах? у всех версий армы 4,х одинаково находится ОЕР, в версии армы 5,0 вроде так же, но ее я еще не смотрел, работа блин почти все время отнимает(( На счет ОЕР проги из топа, после деаттача процессов друг от друга, ОЕР будет находится как обычно ;) Как деаттачить процессы, здесь говорилось уже раз 20
Скачал анпакми с армой. Думал на нем потренироваться. Такая же фигня А вы попадаете как в туторе на такое место? 5E POP ESI C9 LEAVE C3 RETN Или у вас тоже по другому? дай линк на этот анпакми
|
|
|
Создано: 16 июля 2007 09:13 · Личное сообщение · #12 подборка анпакми с tuts4you. Весит почти два метра. Я залил отдельно один файлик. Стандартная защита + дебаг-блок. webfile.ru/download.php?id=1470016\ 700 кб А вот тут прога из соседней ветки. Там защита определяется посложнее, но в плане нахождения ОЕР такая же задница получается. Тоже версия армы 4.66 slil.ru/24631042 624кб |
| << . 1 . 2 . |
|
eXeL@B —› Вопросы новичков —› Поиск ОЕP в армадилле |
Для печати