Сейчас на форуме: zds, -Sanchez- (+8 невидимых)

 [email protected] —› Протекторы —› вопрос по аспру
Посл.ответ Сообщение


Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 02 июля 2005 00:39
· Личное сообщение · #1

пытаюсь запротектить небольшую прогу крякнутым SKE 2.11 b3.13 с опцией OEP protect
все нормально - OEP прячется
Как только пытаюсь поменять на точке входа или чуть дальше - напимер на EB FE или длинный
jmp с возвратом - все - OEP не прячется - то есть после распаковки он оказывается на своем месте
Так должно быть у аспра этой версии или так всегда было?



Ранг: 186.8 (ветеран)
Активность: 0.040
Статус: Участник

Создано: 04 июля 2005 12:46
· Личное сообщение · #2

Хмм... Может быть он может спирать только определенные байты, генерящиеся высокоуровневыми компиляторами? push ebp, mov ebp,esp, sub esp... Попробуй запротектить с этой опцией файлик (например, масмом компиленый), код которого начинается с чего нить типа pushad, CALL...



Ранг: 33.1 (посетитель)
Активность: 0.010
Статус: Участник

Создано: 04 июля 2005 20:51
· Личное сообщение · #3

скорее всего, аспр прет только до первого джампа или call. Исключение делается только для Дельфи, под старт которого, у аспра есть _специальный_ напильник...




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 04 июля 2005 23:29 · Поправил: r99
· Личное сообщение · #4

Solo
до 1- го call говоришь

вот пример где я ставлю jmp вместо оригинального jne - и все - спертых байтов нету
мистика какая-то либо какие-то свойства exe становятся не правильными
ps. у меня есть только одно обьяснение - что это полиморф спотыкается

push ebp
mov ebp,esp
push 0FF
push 000402418
push 000401A76
mov eax,fs:[00000000]
push eax
mov fs:[00000000],esp
sub esp,068 ;"h"
push ebx
push esi
push edi
mov [ebp][-18],esp
xor ebx,ebx
mov [ebp][-04],ebx
push 002
call __set_app_type ;MSVCRT
pop ecx
or d,[00403120],0FFFFFFFF
or d,[00403124],0FFFFFFFF
call __p__fmode ;MSVCRT
mov ecx,[00403114]
mov [eax],ecx
call __p__commode ;MSVCRT
mov ecx,[00403110]
mov [eax],ecx
mov eax,_adjust_fdiv ;MSVCRT
mov eax,[eax]
mov [0040311C],eax
call .000401A75
cmp [00403030],ebx
jne .000401973 <--- eb fe



Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 05 июля 2005 08:51
· Личное сообщение · #5

r99
Попробуй 1.33 тот же файлик...
Там вообще не совсем ясно по какому принципу это работает - например у меня одну прогу на дельфи 1.33 защищал оеп а 2.0 нет.... весьма странно...

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels




Ранг: 12.8 (новичок)
Активность: 0.010
Статус: Участник

Создано: 05 июля 2005 10:39
· Личное сообщение · #6

r99 пишет:
cmp [00403030],ebx
jne .000401973 <--- eb fe

А по-моему всё логично.. дизасм ms-rem`а на такой фигне также себя ведёт.. ведь нельзя сказать с 100% уверенностью, что за jmp`ом не будет данных... хотя с другой стороны, можно останавливаться на этой инструкции...
можно ещё проверить на последней версии 2.11 beta 06.05 - может исправили




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 05 июля 2005 14:10
· Личное сообщение · #7

evix
наверно ты прав
даже такой код не нравится аспру

push ebp
xor eax,eax
je .000400050
nop
push 000401A76


 [email protected] —› Протекторы —› вопрос по аспру
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати