yoda's Protector 1.3

Discussion in 'Реверсинг' started by s0lar, 1 Jul 2008.

Thread Status:
Not open for further replies.
  1. s0lar

    s0lar Elder - Старейшина

    Joined:
    16 Mar 2008
    Messages:
    63
    Likes Received:
    7
    Reputations:
    1
    STDU Converter ver 1.1 -хом пага- наш подопытный, накрыт протом yoda's Protector 1.3(по словам AT4RE FastScanner и QUnpack 2.0)...закидываем в QUnpack(получем oep через OEP->ForceEOP->00401040) жмем Full unpack все распаковывается вроде бы норм, а запускать не запускается распакованый экзешник...проганяю через импрек полученную оер(00401040) вот что показывает -линк- если неправильная оеп тогда как унпакер распаковал гладко...
     
    #1 s0lar, 1 Jul 2008
    Last edited: 1 Jul 2008
  2. spider-intruder

    spider-intruder Elder - Старейшина

    Joined:
    9 Dec 2005
    Messages:
    700
    Likes Received:
    339
    Reputations:
    37
    Слил с офсайта триал версию - она у меня сама по себе не запускается. :)

    У меня прога не пашет но распаковать распаковал - может там и бажный импорт немного но анализировать то можно. Грузи то что распаковал в ИДУ и ищи то место где пофиксить надо а поом просто лоадер напишешь.
    полный АНПАК не модно нынче - патч на лету рулит! :)
     
    #2 spider-intruder, 1 Jul 2008
    Last edited: 1 Jul 2008
  3. Грот

    Грот Elder - Старейшина

    Joined:
    24 Jan 2008
    Messages:
    110
    Likes Received:
    36
    Reputations:
    0
    что -то я том прота не нашел порога ничем не покована
    может я наркаманю х.. знает, у меня проблема прав админа нет, я ее не установил.
    может там прот!? если так, тогда выложи распакованую порогу.

    р.с я так понял ты хочешь ограничения снять?
     
  4. s0lar

    s0lar Elder - Старейшина

    Joined:
    16 Mar 2008
    Messages:
    63
    Likes Received:
    7
    Reputations:
    1
    ну на инсталере ясно ничего нет, -линк- на прогу, думаю запустится, говорят что этот прот легко отдает оеп но с импортом в импреке сложности есть нужно как то править вручную, кто подскажет как что где
     
  5. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    274
    Reputations:
    59
    юзаем Olly
    бряк на CloseHandle, выходим из функции, скролим на 0052D79D, ставим бряк, кода стопнемся меняем код так чтобы IAT сохранялась нормально.
    Code:
    0052D79D    8932            MOV DWORD PTR DS:[EDX],ESI
    на 
    0052D79D    8902            MOV DWORD PTR DS:[EDX],EAX
    
    тут же ставим бряк на
    Code:
    0052D823    33C3            XOR EAX,EBX
    когда стопнемся меняем на
    0052D823    33C0            XOR EAX,EAX
    
    Затем ставим бряк на 004B19DA = OEP
    Удаляем лишние бряки, run, встали на OEP. Дампим. Готово.
     
  6. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    274
    Reputations:
    59
    Зарегался. Ничего сложного :)
    Code:
    Name: neprovad
    E-mail: admin@microsoft.com
    Serial: 13BB319562
    
     
  7. Грот

    Грот Elder - Старейшина

    Joined:
    24 Jan 2008
    Messages:
    110
    Likes Received:
    36
    Reputations:
    0
    посли этих изменений
    имп рес все равно не может найти некоторые апи в надежде что это апи прота я их удалил но порога после этого упала подсажи где косяк

    р.с и если чес но как понять что именно сдесь 0052d79d прот мутит с импортом

    все понятно прот просто забивает их мусором

    достаточно занопить данную инструкцию и все хотя можно менять на еах
     
    #7 Грот, 2 Jul 2008
    Last edited: 2 Jul 2008
  8. s0lar

    s0lar Elder - Старейшина

    Joined:
    16 Mar 2008
    Messages:
    63
    Likes Received:
    7
    Reputations:
    1
    тема закрыта
     
  9. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    541
    Reputations:
    445
    закрыл
     
    1 person likes this.
Loading...
Thread Status:
Not open for further replies.