"Paperport Deluxe 7.00.5"

Scanner dan gecirdiginiz taramalari cesitli birimlere gonderen ve ceviren komple bir set. (~58Mb)

VBox 4.30 ile korunmus ve 20 gunluk trial ile geliyor. Icedump -> programi calistirin -> Menu geldigi zaman [bpx getprocaddress] -> Try -> SoftIce dayiz -> [F11] -> [bc*]

016F:0700BB3F  MOV       EDI,EAX                            <- Buradayiz 
016F:0700BB41  CMP       EDI,EBX 
016F:0700BB43  JZ        0700BCE6
016F:0700BB49  MOV       ESI,[ESI+16] 
016F:0700BB4C  ADD       ESI,[EBP+08] 
016F:0700BB4F  CMP       [EBP-24],EBX                       <- Cagri siflendi mi ? 
016F:0700BB52  JZ        0700BB89                           <- Evet, sifrelendi 

(Vbox 4.30 ile ilgili "dEZZY" nin tutorial ini okumanizi tavsiye ederim) Vbox, IAT yi sifrelemeye baslayacak. Eger, 700BB52 yi JMP seklinde patch edersek Import Table imiz normal kalabilecek.

Patch yaptiktan sonra [Ctrl+PageDown] ile asagilara bakinin. "LEAVE" komutunun oldugu adrese [bpm] ile breakpoint koyun. (OEP nin bulunma yontemi Mr_Stop dan alintidir)

016F:0700BBD8 POP EBX 
016F:0700BBD9 MOV FS:[00000000],ECX 
016F:0700BBE0 LEAVE <- Breakpoint 
016F:0700BBE1 RET

Breakpoint calistiktan sonra -> [bc*] -> [bpx getprocaddress] -> 11 kez [F5] -> [F12]

016F:01C2024C TEST EAX,EAX <- Buradayiz 
016F:01C2024E MOV [EBX+0000008C],EAX 
 ...

Bundan sonra [F8] ile takip edelim.

016F:01C20518 MOV [EBP-10],EAX 
016F:01C2051B MOV EBX,[EBP-10] 
016F:01C2051E JMP EBX 
016F:0042D320 PUSH EBP <- OEP 
016F:0042D321 MOV EBP,ESP

JMP EBX komutu ile OEP imize zipliyoruz.

[\dump 400000 70000 c:\dump.exe] (Image Base=400000 , Size of Image=70000)

PEditor ile dump.exe yi acalim -> Entry Point = 42D320 - 400000 = 2D320

Sections -> ilk section secip -> dumpfixer -> Boylece Vbox dan arinmis exe ye sahibiz.

Bir programı kullanarak para kazanıyorsanız, programı satın alın.