Olly Notlar

Olly hata mesajı başındaki 55 push başlıyoruz

f7 call ile içine gireriz

Ollydbg script dump eder bizde ana programı Import REC ile yeni bulunan 

OEP ile IAT AutoSerach----- Get Import  -----  FixDump edilir ve dump edilmiş exenin üzerine kayıt edilir

Program debug edilir hata mesajına kadar gelinir ve hata mesajında debugger pause edilir. Hata mesajı stringlerde aratılır

Sonra çift tık F8 yani tek tek trace edilir F7 Call ların içine girilir ve F8 ile devam edilir

Çoklu lisans seçeneklerinde lisans stirnglerinden yukarı doğru kodları tradığımızda JE ve JMP komutlarını NOP layarak burayı aşabiliriz

Dump edilen progeam çalışmaz ise aynı dump eden programın Rebuild özelliği kullanılır

Karşılaştırma yapılan varsayılan CALL presödörünü içine girip 55 ile başlayan kodları aşağıdaki kodlar ile değiştiriyoruz

XOR EAX, EAX

MOV AL, 1

RET

Sonra 

Copy to executable --- All Modicifiations---- copy all-----save file

MOVSX EAX, BYTE PTR DS:[EDI+3]  =   İsmin 4 karakterini alıyor

MOVSX EDX, BYTE PTR DS:[EDI+1]  =   İsmin 2 karakterini alıyor

ADD EAX, EDX                                           İKİSİNİ TOPLUYOR 

MOVSX EDX, BYTE PTR DS:[EDI]            İSMİN İLK KARAKTERİ ALINIYOR

ADD EAX, EDX                                             ONUDA TOPLANIYOR

SHL EDX, 5                   SOLA YER DEĞİŞTİR EDX DEĞER YER DEĞİŞTİRİYOR

ADD EDX, AEAX           EDX İLE EDX TOPLA

SHL EDX, 2         YİNE EDX TEKİ DEĞER YER DEĞİŞTİRDİ SOLA DOĞRU

CMP EDX, ECX  ECX İLR EDX KARŞILAŞTIR

JNZ  JE KARŞIĞI

JNZ  JMP KARŞIĞI

ConfuserEX Mod (Bed's Protector)