народ я понимаю что наверное чучуть не в тот форум залес но всеже помогите не могу оригенальный entripoint найти чето не понимаю первый раз просто такую защиту пытаюсь обоити кто обошел поделитесь как обоити vbox я нашел другой путь но он неосуществляется по одной простой причине в софтайзе есть
(call - процедура вывода наг скрина
jmp - сюда попадаем после кнопки try) в файлах в бокса нету т.е.в памяти есть а в реале нету или все данные каким то образом шифруются по выходе из программы короче кто знает напишите

P.S.еси сломаю сам то напишу

Давно это было..., посмотри здесь.

слушай а ты сам ломал vbox если да то напиши как найти OEP и че потом делать кстате а че в 4 дриме нету вбокса я просто сегодня ее сломал без проблем минут за 10 :)))

Конечно я ломал, у меня был Dreamveawer.exe пакован VBox 4.6.2,
потому что это была версия trial, сейчас не знаю что там и как там
они защищают в новых версиях, 50 мег качать чтоб проверить...
Найди статью по VBox 4.3, OEP в 4.6.2 находится почти также,
если не найдёшь попробую описать поподробнее...

статью про 4.3 я нашел токо чето я немножко не понимаю вообще что такое OEP это entripoint точка входа?? напиши поподробнее если не лень а нащет моего vboxa у меня как раз 4.6.2 и есть да и еще что такое таблица импорта зачем она что это такое я просто в програмирование только учусь и с этим пока несталкивался так что если не лень опиши

[ angel_aka_ks: ....что такое OEP...
.....и еще что такое таблица импорта зачем она что это такое....]

Ну здрасте, приехали, как же я тебе буду объяснять как найти
OEP и т.д. и т.п. если ты не знаешь что это такое :-).
Жалко на reversing.net сейчас нет статей(раньше были), дык вот
ужо всё описано, тебе нужно их почитать, также можно почитать
статьи на этом сайте(wasm.ru), пока всё не перелопатишь ничего
не поймёшь...
Ну а OEP,Original Entry Point-оригинальная точка входа в программу,
т.е. то что было до упаковки VBox'ом.

так короче я тут инфы всякое надыбал сам чучуть мозгами пошевелил и жду от тебя описание поиска походу дела доконца вьеду я бустро во все вьежаю так что давай жду описание :)))))

Поиск идёт по тому же пути что и VBox 4.3, если ты говоришь что сам
во всё вьедешь то бери и пробуй, прыжок на OEP так и остался
'jmp ebx', с импортом здесь ещё проще будет(ничего патчить не надо),
рекомендую всё проделывать под 2k/XP, но правда потом могут быть проблемы
в 98-й, лично я отодрал VBox 4.6.2 в конечном счёте под 98-й :-)

Рассказываю один раз %)

Нахождение OEP, как делал я, может можно и проще:
1) Запускаем прогу до окна с кнопкой "Try"
2) в SoftIce->bpx GetProcAddress и жмём кнопку "Try",
как сработает жмём F12 и должны увидеть код, похожий на код
приведённый в туториале по VBox4.3.
3) Далее жмём F12 до тех пор пока не выйдем из call edi(я жал 6 раз)
4) Снимаем бряк bc * и ставим новый бряк на адрес call edi,
вида bpm [адрес] x и пускаем SoftIce по F5.

Как сработает, входим в call edi по F8 и продолжаем трассировать
плавно нажимая на F8(c)Dr.Golova %), заходим в первый call,
потом опять в первый call, потом уже можно идти по F10, там будет
полиморф, продолжаем его трассировать ещё плавнее %) ища в коде
инструкцию вида jmp ebx, в ebx и будет лежать искомая OEP,
теперь можно зацикливать, дампить, восстанавливать импорт.

P.S. Главное не забыть перед исследованием запустить icedump
или iceext, иначе ничего не получится, прога просто не
запустится.

так все я короче отыскал OEP 828864 теперь я пнял что зачем и почему короче вот только напиши поподробнее
"теперь можно зацикливать, дампить, восстанавливать импорт" вот это место плзз :)))) iceext у меня установлен и запушен

Можно циклить так:
остановиться на jmp ebx, и дать Айсу две команды:
a eip
jmp eip
если размер не совпадает то добавить nop'ов.

Или зацикливай с помощью iceext, дав команду !SUSPEND

Потом дампи с помощью LordPE, запускай ImpRec и восстанавливай
импорт, не забудь, что ImpRec'у нужно указать чистую OEP, т.е.
то что ты нашёл минус image base(только не спрашивай что это такое) :-)
Про то как восстанавливать импорт, пользуясь ImpRec'ом почитай
какой-нибудь тутор по другим упаковщикам.

так зациклил с дампил запусил imprec указал он мне написал мол rva не коректный попробуй этот записал сделал getimport написал что все с iat тип топ а че дальше то делать я пробовал фикс дамп ну он мне в ответ что чето там нащет иат надо в ручную править че делать то аааа обьясни плззз :)))) я там всякого напробовал у мя аш 4 запукающих получилось но чето нечего не пукается че я нетак сделал

Долго объяснять, почитай статьи по другим упаковщикам...

а у тя есть ссылки на статьи ааа если да то кинь в меня плз

Если тебе не к спеху то подожди скоро они появятся на реверсинг.нет
или поищи через поисковик Google, например. Найдёшь целую кучу...