OEP

Iniciado por Potato, 18 Mayo 2012, 18:58 PM

0 Miembros y 1 Visitante están viendo este tema.

Potato

bueno os comento;

EStoy buscando la oep de mi juego y he probado varios metodos pero ninguno se hacerlo bien, o algo raro, la cuestion que he encontrado un tute de marciano mas concretamente OEP obfuscator y stolen bytes y habla de un nuevo metodo (para mi) de buscar el OEP. El metodo consiste en utilizar set condition y poner los valores 00401000 y 00404FFF, y luego dar a trace into. Dice que para en el OEP
Pero Edito que lo estaba haciendo mal, he utilizado  un programa y me decia que no estaba en el entrypoint y ahora lo pongo y me sale el mismo que el del inicio, o sea que no me sale el entry point, bueno yo voy a seguir buscando pero si me decis algun metodo para VB os lo agradeceria


Un saludo a todo el mundo





karmany

Para VB en Código Nativo es muy sencillo porque la primera call llamada es:
ThunRTMain


Así que en OllyDBG pon un BP/HBP ahí y darás con el OEP enseguida.

Un OEP característico de VB6 nativo es este: (OEP = 00401408)


Código (asm) [Seleccionar]
004013FA  - FF25 80104000   jmp near dword ptr ds:[401080]           ; MSVBVM60.EVENT_SINK_Release
00401400  - FF25 D4104000   jmp near dword ptr ds:[4010D4]           ; MSVBVM60.ThunRTMain
00401406    0000            add byte ptr ds:[eax],al
00401408    68 48794000     push 407948                              ; ASCII "VB5!6&VB6ES.DLL"
0040140D    E8 EEFFFFFF     call 00401400                            ; jmp to MSVBVM60.ThunRTMain

Potato

es el primer mensaje que me contentas estoy contentisimo!!!!!!

si estoy tardando tanto en contestar es .......

...... porque   te voy a fallar,,,,, estoy intentando poner un bp en ThunRTMain pero no lo consigo he puesto bp ThunRTMain en la command bar  pero no lo reconoce, asi que no se ponerlo, si pongo bpx ThunRTMain me lleva a un sitio con muchos calls pero fuera de C,  estoy desorientado, porque he puesto un bp en el primer call pero no avanza nada esta tres lineas abajo.

me da verguenza pero como pongo el bp en ThunRTMain

karmany

Ejecuta el programa. Pulsa F9.

En el momento que arranque páusalo: F12

Y ahora pon un Hardware Breakpoint en  ThunRTMain. Un BP no te valdrá para nada.
Y reinicia.

Potato

tipeo HE ThunRTMain me dice comando desconocido, "Unknown identifier" lo siento no se ponerlo es la primera vez que veo ThunRTMain, me pondre a estudiarlo enseguida lo siento.

karmany

Cita de: Potato en 18 Mayo 2012, 20:30 PM
tipeo HE ThunRTMain me dice comando desconocido, "Unknown identifier" lo siento no se ponerlo es la primera vez que veo ThunRTMain, me pondre a estudiarlo enseguida lo siento.

Eso es porque no se ha cargado la librería de Visual Basic. ¿Estás seguro que es un Visual Basic? ¿Qué dice RDG Packer Detector?

Potato

#6
Microsoft visual c++ 7.10                                         Compiler


Nada                                                                    Detected

                                           Espacio en blanco      posible




Eso en analisis rapido en analisis m-b

Compiler    microsoft visual c++

Detected       chek is debug present

posible


Potato

he leido en crack latinos que igual lleva alguna proteccion que no detecta el rdg pero no se estoy muy perdido jeje

$Edu$

C++ es distinto a Visual Basic.

Potato.. siento como que no te has leido el tutorial de Ricardo Narvaja aun y quieres buscar otros tutoriales o andas preguntando eso por lo menos, y estas dando vueltas en vez de hacer lo que te dicen.

Potato

ah vale muchas gracias edu, leermelo si y a fondo, pero esta claro que necesito mas lecturas, pero ya dije que las ultimas partes no las he practicado, y ahora estoy con el nuevo porque se
usan otros programas, pero hasta la parte 38 si que le he dado bastante tute, en fin a seguir estudiando. lo siento karmany te he hecho perder el tiempo, pero os prometo que no lo voy a volver a hacer. un saludo a todos.