HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ПРОГРАММИРОВАНИЕ > Реверсинг
Перезагрузить страницу Реверсинг. Задай вопрос - получи ответ
   
Ответ
Страница 36 из 68 « Первая < 26 32 33 34 35 36 37 38 39 40 46 > Последняя »
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 29.01.2009, 17:46
neprovad
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791

Репутация: 711


По умолчанию
даже проверка навскидку code xref к найденому oep=75477С показывает, что это не совсем oep, ибо есть вызов идущий на этот адрес.
Код:
00755860    E8 17EFFFFF     CALL taxi.0075477C
oep на самом деле 7557E4
 
Ответить с цитированием

  #2  
Старый 29.01.2009, 17:58
svalck
Познающий
Регистрация: 24.03.2008
Сообщений: 79
Провел на форуме:
262182

Репутация: 24
По умолчанию
Цитата:
Сообщение от neprovad  
даже проверка навскидку code xref к найденому oep=75477С показывает, что это не совсем oep, ибо есть вызов идущий на этот адрес.
Код:
00755860    E8 17EFFFFF     CALL taxi.0075477C
oep на самом деле 7557E4
хм... видимо я совсем нуб... но по шифт в 9 с бряком на предпоследнем на .code выдало тот OEP и Peid показал мой OEP...
Беру твой 7557E4 и не восстанавливаеться нормално...
 
Ответить с цитированием

  #3  
Старый 29.01.2009, 20:18
Hellsp@wn
Постоянный
Регистрация: 29.04.2007
Сообщений: 496
Провел на форуме:
2715445

Репутация: 588
По умолчанию
Код:
Listing OEP:
007557E4: 55                   push ebp
007557E5: 8BEC                 mov ebp, esp
007557E7: 81C4ECFEFFFF         add esp, FFFFFEECh
007557ED: 53                   push ebx
007557EE: 56                   push esi
007557EF: 57                   push edi
и сразу же апи аспра присутствует
Код:
007558BA     C640 5B 00        MOV BYTE PTR DS:[EAX+5B],0
007558BE     E8 C94BE2FF       CALL taxi_u.Asp_api::LocalHardwareID
007558C3     A1 2CC17500       MOV EAX,DWORD PTR DS:[75C12C]
если его занопить, то вроде запускается
но по хорошему, надо отэмулить её выполнение.

з.ы. мой вариант анпака:
http://filesurf.ru/92249
Последний раз редактировалось Hellsp@wn; 29.01.2009 в 20:22..
 
Ответить с цитированием

  #4  
Старый 30.01.2009, 10:45
svalck
Познающий
Регистрация: 24.03.2008
Сообщений: 79
Провел на форуме:
262182

Репутация: 24
По умолчанию
Hellsp@wn респект!
но не запускаеться... во первых архив пишет битый... 2 раза скачивал... полечил.. а приложение не открываеться (пишет что не являеться win32 приложением)
ООО вот щас нормально скачал всё ок... ошибки не вылазят но почему то прога и не работает... т.е.
окно моргнёт и всё.... что это значит?
Последний раз редактировалось svalck; 30.01.2009 в 11:25..
 
Ответить с цитированием

  #5  
Старый 30.01.2009, 11:32
svalck
Познающий
Регистрация: 24.03.2008
Сообщений: 79
Провел на форуме:
262182

Репутация: 24
По умолчанию
Hellsp@wn у тебя программа распакованная работает?
 
Ответить с цитированием

  #6  
Старый 30.01.2009, 14:35
Hellsp@wn
Постоянный
Регистрация: 29.04.2007
Сообщений: 496
Провел на форуме:
2715445

Репутация: 588
По умолчанию
выводит окно, что не может какие то настройки прочитать и всё
я же говорю там остались переходники на апи аспра, оладчик в зубы и вперёд.
 
Ответить с цитированием

  #7  
Старый 30.01.2009, 15:22
svalck
Познающий
Регистрация: 24.03.2008
Сообщений: 79
Провел на форуме:
262182

Репутация: 24
По умолчанию
Цитата:
Сообщение от Hellsp@wn  
выводит окно, что не может какие то настройки прочитать и всё
я же говорю там остались переходники на апи аспра, оладчик в зубы и вперёд.
а че с ними делать? с апи прота?
 
Ответить с цитированием

  #8  
Старый 30.01.2009, 15:26
neprovad
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791

Репутация: 711


По умолчанию
если это не апи шифровки блоков кода, то просто переделать апи вручную, как выше было сказано - сэмулировать.
т.е. есть у тебя апи условно gethwid - меняешь её так чтоб она возвращала всегда константу. Посмотри скрипт (ollyscript) распаковки аспра от VolX, многие вопросы отпрадут
 
Ответить с цитированием

  #9  
Старый 30.01.2009, 15:57
zeppe1in
Постоянный
Регистрация: 12.07.2006
Сообщений: 327
Провел на форуме:
1654818

Репутация: 117
По умолчанию
а я не понял. чо олли апи аспра определяет?)
 
Ответить с цитированием

  #10  
Старый 30.01.2009, 16:25
svalck
Познающий
Регистрация: 24.03.2008
Сообщений: 79
Провел на форуме:
262182

Репутация: 24
По умолчанию
я тоже не понял.. вручную? а если применить как раз скрипт Volx он автоматом поменяет всё? А есть у кого нить ODbgScript 1.65.1. а то скрипты от Volx не пашут...
Последний раз редактировалось svalck; 30.01.2009 в 17:04..
 
Ответить с цитированием
Ответ
Страница 36 из 68 « Первая < 26 32 33 34 35 36 37 38 39 40 46 > Последняя »



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Проблемы с железом. Задай вопрос, получи ответ Alexsize "Железо" 1181 10.06.2010 12:08



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ