 Autor
|
Tema: OEP (Leído 9,825 veces)
|
Potato
 Desconectado
Mensajes: 104
|
 |
OEP
« en: 18 Mayo 2012, 18:58 pm » |
|
bueno os comento;
EStoy buscando la oep de mi juego y he probado varios metodos pero ninguno se hacerlo bien, o algo raro, la cuestion que he encontrado un tute de marciano mas concretamente OEP obfuscator y stolen bytes y habla de un nuevo metodo (para mi) de buscar el OEP. El metodo consiste en utilizar set condition y poner los valores 00401000 y 00404FFF, y luego dar a trace into. Dice que para en el OEP
Pero Edito que lo estaba haciendo mal, he utilizado un programa y me decia que no estaba en el entrypoint y ahora lo pongo y me sale el mismo que el del inicio, o sea que no me sale el entry point, bueno yo voy a seguir buscando pero si me decis algun metodo para VB os lo agradeceria
Un saludo a todo el mundo
|
|
|
|
« Última modificación: 18 Mayo 2012, 19:16 pm por Potato »
|
En línea
|
|
|
|
|
karmany
|
|
Re: OEP
« Respuesta #1 en: 18 Mayo 2012, 19:27 pm » |
|
Para VB en Código Nativo es muy sencillo porque la primera call llamada es: ThunRTMain Así que en OllyDBG pon un BP/HBP ahí y darás con el OEP enseguida. Un OEP característico de VB6 nativo es este: (OEP = 00401408) 004013FA - FF25 80104000 jmp near dword ptr ds:[401080] ; MSVBVM60.EVENT_SINK_Release 00401400 - FF25 D4104000 jmp near dword ptr ds:[4010D4] ; MSVBVM60.ThunRTMain 00401406 0000 add byte ptr ds:[eax],al 00401408 68 48794000 push 407948 ; ASCII "VB5!6&VB6ES.DLL" 0040140D E8 EEFFFFFF call 00401400 ; jmp to MSVBVM60.ThunRTMain
|
|
|
|
|
En línea
|
|
|
|
Potato
Desconectado
Mensajes: 104
|
|
Re: OEP
« Respuesta #2 en: 18 Mayo 2012, 20:09 pm » |
|
es el primer mensaje que me contentas estoy contentisimo!!!!!!
si estoy tardando tanto en contestar es .......
...... porque te voy a fallar,,,,, estoy intentando poner un bp en ThunRTMain pero no lo consigo he puesto bp ThunRTMain en la command bar pero no lo reconoce, asi que no se ponerlo, si pongo bpx ThunRTMain me lleva a un sitio con muchos calls pero fuera de C, estoy desorientado, porque he puesto un bp en el primer call pero no avanza nada esta tres lineas abajo.
me da verguenza pero como pongo el bp en ThunRTMain
|
|
|
|
|
En línea
|
|
|
|
|
karmany
|
|
Re: OEP
« Respuesta #3 en: 18 Mayo 2012, 20:12 pm » |
|
Ejecuta el programa. Pulsa F9.
En el momento que arranque páusalo: F12
Y ahora pon un Hardware Breakpoint en ThunRTMain. Un BP no te valdrá para nada.
Y reinicia.
|
|
|
|
|
En línea
|
|
|
|
Potato
Desconectado
Mensajes: 104
|
|
Re: OEP
« Respuesta #4 en: 18 Mayo 2012, 20:30 pm » |
|
tipeo HE ThunRTMain me dice comando desconocido, "Unknown identifier" lo siento no se ponerlo es la primera vez que veo ThunRTMain, me pondre a estudiarlo enseguida lo siento.
|
|
|
|
|
En línea
|
|
|
|
|
karmany
|
|
Re: OEP
« Respuesta #5 en: 18 Mayo 2012, 20:45 pm » |
|
tipeo HE ThunRTMain me dice comando desconocido, "Unknown identifier" lo siento no se ponerlo es la primera vez que veo ThunRTMain, me pondre a estudiarlo enseguida lo siento.
Eso es porque no se ha cargado la librería de Visual Basic. ¿Estás seguro que es un Visual Basic? ¿Qué dice RDG Packer Detector?
|
|
|
|
|
En línea
|
|
|
|
Potato
Desconectado
Mensajes: 104
|
|
Re: OEP
« Respuesta #6 en: 18 Mayo 2012, 20:53 pm » |
|
Microsoft visual c++ 7.10 Compiler
Nada Detected
Espacio en blanco posible
Eso en analisis rapido en analisis m-b
Compiler microsoft visual c++
Detected chek is debug present
posible
|
|
|
|
« Última modificación: 18 Mayo 2012, 20:56 pm por Potato »
|
En línea
|
|
|
|
Potato
Desconectado
Mensajes: 104
|
|
Re: OEP
« Respuesta #7 en: 18 Mayo 2012, 21:02 pm » |
|
he leido en crack latinos que igual lleva alguna proteccion que no detecta el rdg pero no se estoy muy perdido jeje
|
|
|
|
|
En línea
|
|
|
|
$Edu$
Desconectado
Mensajes: 1.842
|
|
Re: OEP
« Respuesta #8 en: 18 Mayo 2012, 21:05 pm » |
|
C++ es distinto a Visual Basic.
Potato.. siento como que no te has leido el tutorial de Ricardo Narvaja aun y quieres buscar otros tutoriales o andas preguntando eso por lo menos, y estas dando vueltas en vez de hacer lo que te dicen.
|
|
|
|
|
En línea
|
|
|
|
Potato
Desconectado
Mensajes: 104
|
|
Re: OEP
« Respuesta #9 en: 18 Mayo 2012, 21:38 pm » |
|
ah vale muchas gracias edu, leermelo si y a fondo, pero esta claro que necesito mas lecturas, pero ya dije que las ultimas partes no las he practicado, y ahora estoy con el nuevo porque se
usan otros programas, pero hasta la parte 38 si que le he dado bastante tute, en fin a seguir estudiando. lo siento karmany te he hecho perder el tiempo, pero os prometo que no lo voy a volver a hacer. un saludo a todos.
|
|
|
|
|
En línea
|
|
|
|
|
 |
