есть ли аналог "bpm esp-4" в оле?

Сейчас на форуме: vsv1, _MBK_ (+3 невидимых)

Посл.ответ	Сообщение
hel Ранг: 3.2 (гость) Активность: 0=0 Статус: Участник	Создано: 03 августа 2007 20:59 · Личное сообщение · #1 Пытаюсь сломать анпакми автора MozgC [TSRh], по его же статье, но понятия не имею, как поставить бряк "bpm esp-4" в ольке. насколько я понимаю, данный бряк съедается только айсом. может есть какой-нибудь аналог для оли? пытался использовать комманду MR (ведь bpm это бряк на чтение памяти в айсе, насколько я понял), ан-нет! синтаксис отличается. И судя по данной статье этот бряк - некий стандартный оеп файнд для упаковщиков. Айсом не пользуюсь, ибо страшный интерфейс... да и пугает управлением, не для новичка это... но насколько понял, это не имеет значения - ломаю я ведь не хай-энд протекторы (не дорос ;)). Которые имеют более низкий уровень, чем уровень оли. Поэтому для протекторов, типа аспры, армы, а также упаковщиков, должна сойти и олька. Пока я только UPX и aspack могу распаковать, но только ручным поиском OEP (позор то какой ), частичная автоматизации поиска OEP (не без помощи этого бряка) должна многократно мне помочь. надеюсь на помощь и понимание.

El_Diablo Ранг: 59.9 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 03 августа 2007 21:01 · Поправил: El_Diablo · Личное сообщение · #2 "bpm esp-4" Это случаем не hr esp-4 в оле? О_о Приатачь анпакми от MozgC интересно посмотреть
Satyr Ранг: 21.1 (новичок) Активность: 0.03↘0 Статус: Участник	Создано: 03 августа 2007 21:07 · Личное сообщение · #3 для автоматизации процесса поиска ОЕР в Оlly в случае с простыми пакерами можно написать скрипт. Принцип тот, что УПХ, aspack, fsg, mew и проч. первым делом заносят в стек адрес ОЕР. Нужно чтобы программа остановилась в тот момент, когда происходит обращение к соответсвующему адресу в стеке.
HoBleen Ранг: 240.5 (наставник) Активность: 0.19↘0 Статус: Участник Author of ACKiller	Создано: 03 августа 2007 21:08 · Личное сообщение · #4 hel пишет: ведь bpm это бряк на чтение памяти в айсе, насколько я понял Бряком на чтение в айсе называется бряк хардварных регистров. А вот аналога бряка на память в понимании оли (выставление атрибута PAGE_NO_ACCESS) у сайса, насколько я знаю, нет. El_Diablo пишет: Это случаем не hr esp-4 в оле? Оно самое.
hel Ранг: 3.2 (гость) Активность: 0=0 Статус: Участник	Создано: 03 августа 2007 21:26 · Поправил: hel · Личное сообщение · #5 Ес! хард бряк "HR esp-4" проканал! %) Огромный сенькс, El_Diablo! Нет, немного ошибся, анпакмисы распаковывал не от MozgC'а, я лишь следовал его тутору... А распаковывал я 3-й крякмис (он же первый анпакми) Lord Alukard'а. Да и это не имеет значение, можно просто использовать пакеры и самому запаковать какую-нибудь прогу а потом поисследовать, я так и делаю. Satyr, спасибо за объяснение, вроде уловил мысль. значит для оперирования со стеком нужно использовать хард бряк? Оба анпакмиса (UPX,aspack) удачно распакованы. я щаслиф. :,) HoBleen: спасибо за поправку
Satyr Ранг: 21.1 (новичок) Активность: 0.03↘0 Статус: Участник	Создано: 04 августа 2007 01:12 · Поправил: Satyr · Личное сообщение · #6 такой вот простенький скрипт, например, находит OEP в прогах, запакованных простыми пакерами: var counter mov counter, esp next: sto cmp esp, counter je next mov counter,esp bphws counter, "r" run sto msg "OEP found!" проверял на UPX, Mew, Crypkey, eXpressor 1.3 demo %-)) для Aspack нужно еще два sto добавить перед msg
Gambit Ранг: 107.6 (ветеран) Активность: 0.11↘0 Статус: Участник	Создано: 04 августа 2007 16:42 · Личное сообщение · #7 hel пишет: есть ли аналог "bpm esp-4" в оле? gambit.bos.ru/olice.shtml ----- программистом не рождаются - им умирают
Amok Ранг: 35.1 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 04 августа 2007 17:18 · Личное сообщение · #8 Gambit пишет: gambit.bos.ru/olice.shtml Предлагаю тебе добавить в эту таблицу, ещё и Syser Debugger. Ну или сделать отдельной табличкой.
Gambit Ранг: 107.6 (ветеран) Активность: 0.11↘0 Статус: Участник	Создано: 04 августа 2007 21:20 · Личное сообщение · #9 А что, его часто используют? Чем он лучше, скажем, Оли? ----- программистом не рождаются - им умирают
HoBleen Ранг: 240.5 (наставник) Активность: 0.19↘0 Статус: Участник Author of ACKiller	Создано: 06 августа 2007 19:32 · Личное сообщение · #10 Gambit пишет: А что, его часто используют? Как я понимаю, он плохо подходит под крякерские нужды. Gambit пишет: Чем он лучше, скажем, Оли? Тем, что сидит в ядре
Ice-T Ранг: 126.7 (ветеран) Активность: 0.14↘0 Статус: Участник #CCh	Создано: 06 августа 2007 19:52 · Личное сообщение · #11 Gambit пишет: Чем он лучше, скажем, Оли это ринг0 отладчег, вот чем он лучше сайса - вот вопрос.. но не стОит поднимать эту тема здесь, т.к. подобных на форуме уже несколько. ----- invoke OpenFire
Gambit Ранг: 107.6 (ветеран) Активность: 0.11↘0 Статус: Участник	Создано: 07 августа 2007 13:11 · Личное сообщение · #12 HoBleen пишет: Как я понимаю, он плохо подходит под крякерские нужды. HoBleen пишет: сидит в ядре О! Значит, дровишки на нем отлаживать будет удобно) Amok пишет: Предлагаю тебе добавить в эту таблицу, ещё и Syser Debugger. Ну или сделать отдельной табличкой. Думаю, из этого что-нибудь получится)) Учитывая, что вроде ни у кого не возникало проблем с установкой... ----- программистом не рождаются - им умирают
waterproof Ранг: 0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 10 августа 2007 06:39 · Поправил: waterproof · Личное сообщение · #13 а как сделать в Olly "bp int3"? в таблице нету ой как удалить сообщение? Оказуется все намного проще 1. В сайсе: всякие манипуляции, потом bpm esp-4[i/] <----------> В Ольке: просто hr esp-4[i] 2. Ставим бряк (чтоб вывалиться из проги в сайс), потом трейсим по коду <----------> Сразу трейсим по коду 3. Зациклить прогу, потом снять дамп <----------> Те же операции, но зацикливать не надо 4. Остальное есть в таблице (если нет – задавайте вопросы \|=8~))

Для печати