Orjinal Entry Point (OEP)

amois

Program Url: *
Program Tipi: *

Araçlar:

SoftICE, IceDump, PEditor

Basit (x)  Orta (x)  Zor (x)  Pro (x)
Başlangıç

Paketlenmis dosyalari acabilmemiz icin gerekli olan OEP nin bulunmasi bazen cok zor, bazen de asiri kolay olabiliyor. Asagidaki 2 ornekte OEP nin bulunmasi gayet kolay.
Yazı

 

ORNEK 1 --> Mass Downloader v2.1.187 (www.metaproducts.com) (CHIP dergisi Temmuz 2001)

 

PE Shield 0.2 ile korunuyor. SoftIce Loader ile yuklemeye calismamiz sonuc vermedi. Icedump yukledikten sonraki denememiz de bosa cikti. File Information ile program hakkinda bilgi edinelim.

 

Entry Point=598001, Image Base=400000, Size of Image=19C000

 

Hiew ile programi acalim. 598001 adresine gidip [pushad] degerini [int 3] seklinde degistirelim.

[bpint 3] --> SoftIce Loader --> custo.exe --> SoftIce dayiz.

 

016F:00598001  INT        3                      <-- pushad olmali

 

598001 adresinde iken [a] --> [pushad] yapip orjinal haline dondurelim.

Programin Image Base degeri 400000 ve su an 598001 adresindeyiz. OEP nin bu iki deger arasinda olma ihtimali yuksek. [\tracex 400000 550000] --> biraz bekleyelim

 

016F:00401000  RET                              <-- ilk durdugumuz yer

 

Bu OEP degil, bir kez daha [\tracex 400000 550000] komutunu calistiralim.

 

016F:005396E0  PUSH EBP                         <-- OEP

 

Gordugunuz gibi ikinci tracex komutundan sonra 5396E0 adresine dustuk.

[\pedump 400000 1396E0 c:\dump.exe] ile PE Shield den arinmis dosyamizi elde ediyoruz. (5396E0-400000=1396E0)

Programin crack edilmesini de artik siz yapiverin.

 

ORNEK 2 --> Custo v1.4 beta (www.netwu.com) (CHIP dergisi Temmuz 2001)

 

NeoLite v2.0 ile korunuyor. SoftIce Loader ile yuklemeye calismamiz sonuc vermedi. Icedump yukledikten sonraki denememiz de bosa cikti. File Information ile program hakkinda bilgi edinelim.

 

Entry Point=43F1FC, Image Base=400000, Size of Image=46000  

Hiew ile programi acalim. 43F1FC adresine gidip [jmp 43F2A7] degerini [int 3] seklinde degistirelim.

 

[bpint 3] --> SoftIce Loader --> custo.exe --> SoftIce dayiz.

 

016F:0043F1FC  INT        3                                   <-- jmp 43F2A7 olmali  

 

43F1FC adresinde iken [a] --> [jmp 43F2A7] --> [F10] ile takip

 

016F:0043F2A7  MOV       EAX,[ESP+04]

016F:0043F2AB  AND       EAX,[0043F20D]

016F:0043F2B1  CALL      0043F627

016F:0043F2B6  INC       BYTE PTR [0043F2A6]

016F:0043F2BC  JMP       EAX

016F:004258F6  PUSH      EBP                                 <-- OEP

016F:004258F7  MOV       EBP,ESP

016F:004258F9  PUSH      FF  

OEP baska yollarla da bulunabilir. [bpx LoadLibraryA] --> custo.exe

Custo.exe nin koduna donebilmek icin birkac kez [F11] yapiyoruz.  

 

016F:0043F64E  CALL      [EBX]

016F:0043F656  LEA       EDX,[EBP-0162]                      <-- Buradayiz

016F:0043F656  MOV       ESI,EAX

016F:0043F658  MOV       EBX,EAX

 

Programin Image Base degeri 400000 ve su an 43F656 adresindeyiz. OEP nin bu iki deger arasinda olma ihtimali yuksek. [\tracex 400000 430000] --> biraz bekleyelim

 

016F:004258F6  PUSH      EBP                                <-- OEP

016F:004258F7  MOV       EBP,ESP

016F:004258F9  PUSH      FF

 

Gordugunuz gibi yine 4258F6 adresine dustuk. [\dump 400000 46000 c:\dump.exe] ile NeoLite siz dosyamizi elde ediyoruz.

PEditor --> Entry Point=258F6 --> Sections --> ilk section --> dumpfix

PEditor ile ugrasmak istemezsek --> [\pedump 400000 258F6 c:\dump.exe]

IceDump ile gelen bu komut PE yi kendi duzeltiyor. (4258F6-400000=258F6)

Programin crack edilmesini de artik siz yapiverin.

 

NOT : W32Dasm --> dump.exe --> Hata veriyorsa veya hic bir sey yapmiyorsa --> PEditor --> dump.exe --> Sections --> birinci section --> edit --> charecteristic --> E0000060 seklinde degistirin --> Yine hata verirse --> ikinci section a da ayni islemi uygulayin.

Son Notlar

Bir programı kullanarak para kazanıyorsanız, programı satın alın.