08-11-2019, 10:16 PM
أخي الكريم ... نقطة البداية الأصلية OEP هي النقطة التي يبدأ عمل البرنامج منها وهنا نقصد البرنامج غير المشفر طبعا.
نقطة البداية EP هي النقطة التي يبدأ منها البرنامج المشفر وهي ليست النقطة الأصلية لدخول البرنامج بإعتبار أنه مشفر.
لذا عند تحميل البرنامج في الذاكرة يقوم اللودر بفك التشفير وإعادة الكود لوضعه الأصلي ... وهنا عليك الوصول الى نقطة البداية الأصلية OEP التي يجب على البرنامج البدء منها بالوضع الطبيعي دون تشفير. كما ذكر الأخ سابقا ... تستطيع حينئذ عمل dump و اصلاح جدول ال IAT
هناك بعض الحمايات التي تقوم بتشويه ال OEP بمعنى انها تقوم بتغيير صيغتها (instructions) وهنا قد تحتاج الى اصلاحها في المنقح ، وأفضل طريقة لفهم ذلك هو ان تجرب ببرنامج غير مشفر ومن ثم قم بتشفيره وشاهد الفرق لتتوضح الصورة.
على ما أذكر ان themida واحدة من هذه الحمايات الشرسة والتي تقوم بهذا ورأيت درسا سابقا لأحد الإخوة وهو يقوم بفك هذه الحماية.
أنا لست خبيرا في مجال فك التشفير ولكن الأخوة هنا اصحاب الخبرة يستطيعون مساعدتك بشكل افضل.
نقطة البداية EP هي النقطة التي يبدأ منها البرنامج المشفر وهي ليست النقطة الأصلية لدخول البرنامج بإعتبار أنه مشفر.
لذا عند تحميل البرنامج في الذاكرة يقوم اللودر بفك التشفير وإعادة الكود لوضعه الأصلي ... وهنا عليك الوصول الى نقطة البداية الأصلية OEP التي يجب على البرنامج البدء منها بالوضع الطبيعي دون تشفير. كما ذكر الأخ سابقا ... تستطيع حينئذ عمل dump و اصلاح جدول ال IAT
هناك بعض الحمايات التي تقوم بتشويه ال OEP بمعنى انها تقوم بتغيير صيغتها (instructions) وهنا قد تحتاج الى اصلاحها في المنقح ، وأفضل طريقة لفهم ذلك هو ان تجرب ببرنامج غير مشفر ومن ثم قم بتشفيره وشاهد الفرق لتتوضح الصورة.
على ما أذكر ان themida واحدة من هذه الحمايات الشرسة والتي تقوم بهذا ورأيت درسا سابقا لأحد الإخوة وهو يقوم بفك هذه الحماية.
أنا لست خبيرا في مجال فك التشفير ولكن الأخوة هنا اصحاب الخبرة يستطيعون مساعدتك بشكل افضل.