Сейчас на форуме: zds, -Sanchez- (+9 невидимых)

 [email protected] —› Протекторы —› UPX 0.80 - 0.84 ... или ExeCryptor2 ??
<< . 1 . 2 . 3 . >>
Посл.ответ Сообщение


Ранг: 283.6 (наставник), 56thx
Активность: 0.130
Статус: Участник
Author of GeTaOEP

Создано: 30 октября 2005 17:11 · Поправил: Модератор
· Личное сообщение · #1

Сейчас поймал себя на факте,что я не могу распаковать UPX .
Значит программа:
PowerArchiver http://www.3dnews.ru/download/arch/powerarchiver/
...упакована,как говорит PEiD, данным упаковщиком версии 0.80 - 0.84 .
Как говорится,что тут распаковывать?Но сколько я не долблюсь с ней,у меня ничего не получается.
Дело в том,что я там никак не могу найти привычных команд типа:
call XXXXXXXX
popad
jmp XXXXXXXX ; <- прыжок на OEP
После EP выполняется какой-то колоссальный код,который напичкан дальними переходами,вследствие чего происходит постоянное метание из последней секции ("a26losg3") в другую ("v0lowmiu").Под конец этих метаний потихоньку начинает запускаться программа,но такое впечатление,что при этом управление не передаётся в секцию кода("CODE") .
Сам UPX упакованный файл не может распаковать.
Сам же использую SoftIce.

В общем,хотелось бы услышать какие-нибудь мысли по этому поводу.

-----
the Power of Reversing team





Ранг: 299.6 (наставник)
Активность: 0.30
Статус: Участник
Armadillo Killer

Создано: 01 ноября 2005 01:32
· Личное сообщение · #2

Smon качай от сюда ... почему то эта ссылка не пашет =\
http://rapidshare.de/files/7019562/Flash_Movie_UnPacking_ExeCryptor_2. zip
rapidshare.de/files/7021392/Flash_Movie_UnPacking_ExeCryptor_2.zip.html



Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 01 ноября 2005 08:39 · Поправил: Smon
· Личное сообщение · #3

Z0oMiK
Ты уж прям совсем ламерский мувик сделал
Версия у меня не та - (не 28 а 20), и оеп в том же районе, но таких байт как 55 8B EC 83 C4 F? и в помине нет =) - съедены видимо =)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels




Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 01 ноября 2005 09:20
· Личное сообщение · #4

Z0oMiK
Вот, погляди: мож найдешь тут оеп
Снимок сделан уже после того как вся секция кода распачена и начинаются джампы на импорт - т.е. оеп я пролетел

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels




Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 01 ноября 2005 09:22
· Личное сообщение · #5

Сорри за дубль, но оказывается нельзя добавлять аттачи к исправляемым сообщениям

6a3f_Snap1.gif

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels





Ранг: 420.3 (мудрец)
Активность: 0.240
Статус: Участник

Создано: 01 ноября 2005 10:02
· Личное сообщение · #6

Smon
Дай ссылку на свою версию проги. А то разночтения надоели...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться




Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 01 ноября 2005 11:21
· Личное сообщение · #7

Минимальный рабочий набор =)
slil.ru/22453788

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels





Ранг: 299.6 (наставник)
Активность: 0.30
Статус: Участник
Armadillo Killer

Создано: 01 ноября 2005 12:45
· Личное сообщение · #8

Smon ЛОЛ там все так же как и в русской верии



Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 01 ноября 2005 13:03 · Поправил: Smon
· Личное сообщение · #9

Z0oMiK
да чёт не заметил, что так же
оеп в студию =)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels




Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 01 ноября 2005 13:36
· Личное сообщение · #10

Парни, это ес-но не ExeCryptor но ина ОЕР так просто не выйдешь, оно размазано по секциям!
Вот кусок кода:
004079C0 53 PUSH EBX
004079C1 8BD8 MOV EBX,EAX
004079C3 33C0 XOR EAX,EAX
004079C5 A3 D4B07D0>MOV [DWORD DS:7DB0D4],EAX
004079CA 6A 00 PUSH 0
004079CC E8 2BFFFFF>CALL <JMP.&kernel32.GetModuleHan>
004079D1 A3 68067F0>MOV [DWORD DS:7F0668],EAX
это первый CALL в дельфи, встаем на
004079C0 53 PUSH EBX и смотрим адрес возврата:
0012FFA4 00CDB16A RETURN to POWERARC.00CDB16A from POWERARC.00A7DBF5
мы имеем дело с какой то самопальной защитой

-----
Подписи - ЗЛО! Нужно убирать!





Ранг: 299.6 (наставник)
Активность: 0.30
Статус: Участник
Armadillo Killer

Создано: 01 ноября 2005 13:39
· Личное сообщение · #11

nice Ты смотрел мувик то ? Как нестранно в русской версии легко хотя может и не тот OEP хрен его знает




Ранг: 299.6 (наставник)
Активность: 0.30
Статус: Участник
Armadillo Killer

Создано: 01 ноября 2005 13:44
· Личное сообщение · #12

nice Я почему то вылез тут

00404D00 55 PUSH EBP
00404D01 8BEC MOV EBP,ESP
00404D03 53 PUSH EBX
00404D04 56 PUSH ESI
00404D05 57 PUSH EDI
00404D06 A1 40C67E00 MOV EAX,DWORD PTR DS:[7EC640]
00404D0B 85C0 TEST EAX,EAX
00404D0D 74 4B JE SHORT POWERARC.00404D5A
00404D0F 8B30 MOV ESI,DWORD PTR DS:[EAX]
00404D11 33DB XOR EBX,EBX
00404D13 8B78 04 MOV EDI,DWORD PTR DS:[EAX+4]
00404D16 33D2 XOR EDX,EDX
00404D18 55 PUSH EBP
00404D19 68 464D4000 PUSH POWERARC.00404D46
00404D1E 64:FF32 PUSH DWORD PTR FS:[EDX]
00404D21 64:8922 MOV DWORD PTR FS:[EDX],ESP
00404D24 3BF3 CMP ESI,EBX
00404D26 7E 14 JLE SHORT POWERARC.00404D3C




Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 01 ноября 2005 13:59
· Личное сообщение · #13

nice
ага, и я про то же...
Z0oMiK
Не знаю что ты там в другой версии нашел, но в моей версии оеп изуродовано как то, хотя основная ветка там же, в конце секции кода..

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels




Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 01 ноября 2005 14:06
· Личное сообщение · #14

Z0oMiK
Это не ОЕР!

И так, если вспомнить ОЕР в дельфе, то выглядит это примерно так:
PUSH EBP
MOV EBP,ESP
ADD ESP,xxx
MOV EAX,00XXXXXX
CALL 004079C0 - когда мы проваливаемся в эту ф-ию то ЕАХ=007DA1BC
я решил проискать в ЕХЕ: B8BCA17D00 и не нашел, я подумал, и запустил трэйс: TC EAX==007DA1BC
вот куда меня выбросило:
00A9F982 A9 0081C054 TEST EAX,54C08100
00A9F987 3A7A BA CMP BH,[BYTE DS:EDX-46]
00A9F98A 81C8 D3C4B1CD OR EAX,CDB1C4D3
00A9F990 81C0 C9A2C912 ADD EAX,12C9A2C9
00A9F996 ^E9 A2D0FDFF JMP POWERARC.00A7CA3D вот тут ЕАХ=007DA1BC
следовательно чистого ОЕР в программе нет

-----
Подписи - ЗЛО! Нужно убирать!





Ранг: 299.6 (наставник)
Активность: 0.30
Статус: Участник
Armadillo Killer

Создано: 01 ноября 2005 14:38
· Личное сообщение · #15

nice А в русской версии ? там вроде дамп + импорт прикручивается и работает..
а в Анл



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 01 ноября 2005 14:39
· Личное сообщение · #16

Z0oMiK
Уже некогда смотреть русскую

-----
Подписи - ЗЛО! Нужно убирать!





Ранг: 420.3 (мудрец)
Активность: 0.240
Статус: Участник

Создано: 01 ноября 2005 15:24
· Личное сообщение · #17

При ОЕР=004079C0 дамп снимается легко, и импорт Imprec восстанавливает. Но прога вылетает... А если потрейсить внимательно, то там постоянно переходы из секции в секцию. Напоминает чем-то ASProtect... Интересно, однако...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться




Ранг: 56.9 (постоянный)
Активность: 0.050
Статус: Участник

Создано: 02 ноября 2005 00:21
· Личное сообщение · #18

Предлогаю копать одну версию.

dl.iad.downloadhosting.com/download/pa/powarc950ru.exe

А распаковывать каждый будет по своему,потом поделится результатами.




Ранг: 299.6 (наставник)
Активность: 0.30
Статус: Участник
Armadillo Killer

Создано: 02 ноября 2005 02:38
· Личное сообщение · #19

Ruller Ты мой мувик смотрел ? чего ее копать когда там все проще чем в АНГ



Ранг: 18.7 (новичок)
Активность: 0.010
Статус: Участник

Создано: 03 ноября 2005 16:23
· Личное сообщение · #20

у меня Peid на нее говорит ACProtect 1.41 -> AntiCrack Software *




Ранг: 748.2 (! !), 390thx
Активность: 0.370
Статус: Участник
bytecode!

Создано: 03 ноября 2005 16:30
· Личное сообщение · #21

anton2v
А какой у тебя PeID?
Что показывеют PETools (Sniffer)?

Ruller пишет:
Предлогаю копать одну версию.

Лучше уж английскую наверно.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.




Ранг: 24.3 (новичок)
Активность: 0.010
Статус: Участник

Создано: 06 ноября 2005 19:34
· Личное сообщение · #22

Там секция кода вообще не сжата, и импорт не тронут там пожаты/покриптованы ресурсы
и что-то сотворили с ОЕП должно быть знаменитый метамоф




Ранг: 299.6 (наставник)
Активность: 0.30
Статус: Участник
Armadillo Killer

Создано: 06 ноября 2005 19:42
· Личное сообщение · #23

Ruller Русскую я уже давно распаковал да и не я один вот Англ полная



Ранг: 24.3 (новичок)
Активность: 0.010
Статус: Участник

Создано: 06 ноября 2005 19:44
· Личное сообщение · #24

Если что я про английскую версию писал.



Ранг: 115.3 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 07 ноября 2005 07:37
· Личное сообщение · #25

Не знаю, что это за хрень, но было интересно. Метод Рикардо с GetModuleHendleA рулит прекрасно. ОЕР:
00A73E40 E8 7B3B99FF CALL dump_1.004079C0

Единственно там нет кол-ва циклов Call EAX, по этому ОЕП должно выглядить так:
00A73E39 > B8 985A7D00 MOV EAX,dump_1.007D5A98
00A73E3E 90 NOP
00A73E3F 90 NOP
00A73E40 E8 7B3B99FF CALL dump_1.004079C0

Прога падает при закрытии тут:
00405100 89D6 MOV ESI,EDX
00405102 8B13 MOV EDX,DWORD PTR DS:[EBX]
00405104 85D2 TEST EDX,EDX
00405106 74 1A JE SHORT dump_1.00405122
00405108 C703 00000000 MOV DWORD PTR DS:[EBX],0
0040510E 8B4A F8 MOV ECX,DWORD PTR DS:[EDX-8]
00405111 49 DEC ECX
00405112 7C 0E JL SHORT dump_1.00405122
00405114 F0:FF4A F8 LOCK DEC DWORD PTR DS:[EDX-8]
00405118 75 08 JNZ SHORT dump_1.00405122
0040511A 8D42 F8 LEA EAX,DWORD PTR DS:[EDX-8]

Необходимо просто изменить на JMP:
00405106 /EB 1A JMP SHORT dump_1.00405122

Импорт восстанавливается без проблем. И всё прекрасно рулит. Это всё по английской версии.
Есть предложение попробовать распаковать программу предложенную в топике "Попытка исследования Internet AccesMonitor" автор топика закрыл его, видимо ему уже всё ясно, но я так до конца и не разабрался. Особенно интересна антиотладка-палит всё. Импорт тоже изуродован. Это программа запакована подобным пакером. Может попробуем?




Ранг: 500.6 (!), 7thx
Активность: 0.260
Статус: Участник

Создано: 07 ноября 2005 12:42
· Личное сообщение · #26

SergSh пишет:
Метод Рикардо с GetModuleHendleA рулит прекрасно


Что за метод? Дай линк.



Ранг: 115.3 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 07 ноября 2005 14:51
· Личное сообщение · #27

Не помню где брал. Кажется у Esteta. Дасловно так:
"Так, теперь нам нужно найти ОЕР. Простейший способ, который пришёл в голову – подумать про API, которые обычно вызываются сразу же после старта программы. В некоторых компиляторах используются GetModuleHandleA вскоре после ЕР, в других (как в VB) мы имеем TthurnMain, в Delphi также идёт GetModuleHandleA как первый call, и т.д. Нам нужно будет испробовать несколько API: GetModuleHandleA, GetVersion, DialogBoxParamA, и т.д. (хотя этих трёх должно хватить). Я использую такой метод потому, что, если, стоя на ЕР пакера, поставить ВРМ on Access на первой секции кода (как описано в туторе по SEtools2g – примеч. Estet), мы задолбаемся жать F9 из-за постоянных бряков. Также можно использовать "Method of the ice lolly of Ricardo Narvaja"




Ранг: 500.6 (!), 7thx
Активность: 0.260
Статус: Участник

Создано: 07 ноября 2005 22:07
· Личное сообщение · #28

SergSh

А я думал что, что то новенькое.



Ранг: 115.3 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 08 ноября 2005 07:52
· Личное сообщение · #29

«А в ответ тишина» и «Тихо сам с собою я веду беседу»
Попробуем. Про TLS всё есть у Риккардо. С антиотладкой пока не как, может быть в процессе
кто подскажет.
Остановились здесь:
00899320 /0F85 65230000 JNZ Internet.0089B68B
00899326 |55 PUSH EBP
00899327 |51 PUSH ECX
00899328 |9C PUSHFD
Теперь попробуем метод Риккардо с GetModuleHendleA для нахождения ОЕР. Первая остановка
здесь:
0012F9A0 0089B9B9 /CALL to GetModuleHandleA from Internet.0089B9B3
0012F9A4 004FD958 \pModule = "kernel32.dll"
Если посмотреть, то видно, что создаётся какой-то импорт, далее:
0012F9A0 0089B9B9 /CALL to GetModuleHandleA from Internet.0089B9B3
0012F9A4 004FD9D4 \pModule = "user32.dll"
Далее:
0012F97C 00711453 /CALL to GetModuleHandleA from Internet.00711451
0012F980 006F1D94 \pModule = "kernel32.dll"
Далее программа просто завершается. Но перед тем как завершится она восстанавливает две
функции, тем самым мы можем определить как она вообще это делает. Мне показалась, что прога
не использует GetProcAddress для этих целей и даже не эмулирует его. А делает это по
классической схеме вируса, т.е. находит библиотеку по имени, затем по базе и по смещению
определяет место в библиотеке где находятся названия функций, затем по своему алгоритму
крипует имя функции и сравнивает в цикле со своей криптованной сигнатурой. При совпадении
она находит прыжок в IAT этой библиотеки, соответствующий данной функции и именно адрес
этого прыжка вставляет в свою IAT.
Все это можно видеть по адресам: 005С95АС, 006F9755, 006F1DB0 ( тут в ESP-C находится
название искомой функции), 005Е5210 (тут записываем адрес перехода в стек),
006F116Е( записываем в нашу IAT). Какие будут соображения?



Ранг: 115.3 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 08 ноября 2005 14:02
· Личное сообщение · #30

В принципе Сайз грузится при запущенной программе, видно что происходит постоянный вызов функций типа OpenProcess. Пытался после бряка на эту функцию зациклить прогу, а потом просто ImportRECом восстановить импорт, но он не может открыть процесс. Почему? OpenProcess не перехвачен. В Сайзе один поток, а если приаттачить к Ольге там два. В принципе библиотеки можно подгрузить исскуственно, но может кто сталкивался? Может то связано SECURITY_ATTRIBUTES?



Ранг: 115.3 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 08 ноября 2005 21:20
· Личное сообщение · #31

Импорт восстановил. Может кто подскажет как эта шняга правильно называется. Не писать же статью про распаковку UPX 0.80 - 0.84 -> Markus & Laszlo, а то всё вроде к этому идёт.


<< . 1 . 2 . 3 . >>
 [email protected] —› Протекторы —› UPX 0.80 - 0.84 ... или ExeCryptor2 ??
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати