RE FORUM

[REVERSE ENGINEERING] => General Discussion => Topic started by: llAmElliK on September 08, 2005, 06:52:11 PM

Title: Armadillo 4.xx CopyMem+DebugBlocker MUP cz
Post by: llAmElliK on September 08, 2005, 06:52:11 PM

Armadillo 4.xx CopyMem+DebugBlocker MUP cz Part 1

OK - dokopal jsem se k napsání tutoru na manual unpacking Armadilla v4.xx obohaceného o ochranu CopyMemII a DebugBlocker.
Toto je první část ve které naleznete Lokalizaci OEP a odstranění CopyMemII.
Sna?il jsem to napsat opravdu Krok za Krokem,ale pokud není něco jasné ptejte se zde - opakuji ude a konkrétně nepi?te mi na ICQ ani meil - probereme to tady ať to vidí v?ichni.
Díky

K tutoru máte přilo?eno cme4 od JdaC ,které je ochráněno Armadillem(díky JdaC) a pak jednu aplikaci navíc kterou si mů?ete zkusit potom.

V druhém díle který snad bude v dohledné době bude pak Kill FATHER processu následný Dump a oprava IAT.

Pokud v tutoriálu najdete nějaké chyby předem se omlouvám - přeji příjemnou zábavu u decrypce CopyMemII.

<> (http://t4c.fbi.cz/t4ctutor/t4c&arma4xxPart1.rar)

Title: Armadillo 4.xx CopyMem+DebugBlocker MUP cz
Post by: Master on September 09, 2005, 09:17:24 PM

Tak,prvni cast sem dokoncil podle tutorialu,dale sem pokracoval podle techto tutorialu:

hxxp://rapidshare.de/files/4911828/Tutorials.zip.html

Ale sekl sem se na prekopirovani headeru.Nevim totiz,ktere headery mam okopirovat,okopiroval sem je vsechny a zmenil zpatky EB FE,ale jaksi sem si nejak utvoril zpatky pack,takze sem tam kde sem byl,v prd...

Title: Armadillo 4.xx CopyMem+DebugBlocker MUP cz
Post by: Master on September 09, 2005, 09:35:22 PM

Tak fajn,po nacteni targetu dam opet BP na writeprocessmemory,proklikam se az na messagebox a pak ok,zastavime se na bp od writeproessmemory,mrknu pro jistotu na adresu,odkud se berou data(003E1FF8)
a k teto hodnote prictu 660h(rozdil mezi oep a 00401000 - ty 4000h nehrajoui roli,hodi to neexistujici misto.Po pricteni mam hodnotu 003E2658 a na tu najedu v hlavnim okne.Follow in dump a tam prepisu byty 558B na EBFE.CTRL+F9 a nasledne F8.Test eax,eax zmenim na Push PID a not eax prepisu na CALL DebugActiveProcessStop.Postepuju tyto zmeny a hodi se mi chyba,otevru si novy olly a attachnu muj child process.Ten starej zavru. Najedu si na oep 00405660 a mam tam jmp.Ten prepisu zpatky v dumpu na 558B.Tak a tu sem v koncich.V jednom tutu se pise,ze mam prekopirovat header(predtim ho jeste zpristupnit na RWE) a v druhem davt bp na createthread.Tak ted fakt nevim.

Title: Armadillo 4.xx CopyMem+DebugBlocker MUP cz
Post by: llAmElliK on September 10, 2005, 12:17:44 PM

čuus,

BP CreateThread se pou?ívá pouze v případě ?e nemáme DubugBlocker - to vypusť - v?imni si ?e Arma  Message skáče u? ve fázi kdy decryptuje? bloky s byty.
Co se týče správného "copy a paste"headers - tohle cme jsem nedodělal do konce proto přesně nevím co - ale zásadní věc - pracuje? s prvním dumpem (ten po decrypci) a s dumpem po změně EBFE + s packlým targetem.
V těch tutorech je to tak nepřesně proto-?e mám pocit ?e ani KaGra nepři?el na univerzální způsob - co je důle?itý jistý - v dumpu po decrypci bloků chybí je?tě minimálně poslední blok a ten se nahrazuje právě překpírováním hlavičky a to od adres který musí? zjistit - stáhni si originální JdaC cme4 (http://t4c.fbi.cz/apz/releasecme.rar) a porovnej - schválně mrkni třeba na sdresu 408000 v originále a v dumpu - já se ktomu vrátím a snad to dodělám,jinak co vím existuje i tutor na Rebuild IAT po ARma od KaGra kde opravuje hlavičku pomocí vyhledání mag.jumpu.