RE FORUM
[REVERSE ENGINEERING] => Newbie => Topic started by: llAmElliK on May 11, 2007, 07:17:15 PM
-
Packer - AsPACK v 2.12 by Alexey Solodovnikov
(packer se jiz nevyviji - pouze pro maly trenink na jeho "silnejsiho bratra AsPROTECT)
http://www.unpackschool.free-site-host.com/UnpackingSchool/AsPACK/TARGET/notepadexe
http://www.unpackschool.free-site-host.com/UnpackingSchool/AsPACK/TARGET/info
-
Funkcni unpack za 6 minut. To snad ne. Asi bude v necem chyba. V IAT mam devet knihoven, takze asi vse spravne.
Nalezeni OEP hned pri prvnim prochazeni kodu -> dump -> Imprec.
Jakto ze je to tak jednoduchy, nedela za me praci nakej z pluginu, treba AdvancedOlly? Z ceho mam usoudit, ze sou moje reverezacky schopnosti dobry?
-
Pokiaľ sa nemýlim, tak ASPack 2.12 neobsahuje ?iadne Anti-Debug. Je naplnený len Anti-Disassembly makrami, to je tak v?etko. AsProtect je na tom tro?ku zlo?itej?ie, ale mám pocit, ?e jeho ochrany doká?e eliminovať napr. i AdvOlly.
E?te som sa na target nepozrel, teraz mám zopár non-IT drobností, ktoré musím vybaviť, tak?e neskor?ie na to mrknem. Jo a e?te musím nahodiť solution pre FSG, keď?e Master nahodil ten nový recorder, ktorý pou?íva pr0p4g4nd4 a je s ním spokojný, navy?e ma výborný kompresný pomer, tak chcem FSG video nahrať e?te cez túto utilitku.
Inak, keby si mal chuť na niečo ťa??ie, tak si skús napr. tElock. :) Ale mo?no sem bude časom zaradený, uvidíme.
// edit
No, nedalo mi to a tak som to medzi vybavovačkami unpackol... myslím, ?e väč?ia pohoda, ne? FSG 2.0. Krátky popis a video dodám mo?no e?te dnes. Dodané, vrátane FSG 2.0 rie?enia. V prípade záujmu viete, kde hľadať...
-
Unpack nebyl problem, ale v programu zustali 2 sekce .adata a .apack, v packu byly na unpack a v .adata byly packnute data. Proc kdyz je smazu PE Tools prestane program fungovat???? prece by mely byt k nicemu????? Smazal sem je pred pouzitim ImpRec aby nebyla jim pridana sekce posunuta
-
To ze tam jsou ani nevadi.Mozna to je jen nejaka sekce prejmenovava.Nekoukal sem se.
-
neni, ty sekce jsou tam navic, jsou tam .text-s kodem .data-s datama a .rsrc-zdroje a pak ty dve. Ale me nejde do hlavy proc to nefunguje kdyz je smazu. Jejich RVA je 14000 a kdyz dumpnu a zprovoznim program tak v olly je jen po rva 8000. Kde jsou ty dve?????
-
treba bude chyba v nespravne hodnote Size Of Image, Size Of Headers. nech opravit v LordPE.
-
Unpack nebyl problem, ale v programu zustali 2 sekce .adata a .apack, v packu byly na unpack a v .adata byly packnute data. Proc kdyz je smazu PE Tools prestane program fungovat???? prece by mely byt k nicemu????? Smazal sem je pred pouzitim ImpRec aby nebyla jim pridana sekce posunuta
Túto dilemu som rie?il, dokonca som to robil rovnakým spôsobom, preto?e som chcel uploadnúť men?í unpacknutý executable, no potom som sa na to vyka?lal. Bolo by to moc ručnej roboty. Zistil som, ?e sú tam rozhodené resources, ktoré zasahujú tu?ím do .adata sekcie, preto nie je mo?né jej zmazanie. :(
-
Zistil som, ?e sú tam rozhodené resources, ktoré zasahujú tu?ím do .adata sekcie, preto nie je mo?né jej zmazanie. :(
Presne tak. Jeste sem se v tom trochu hrabal a kdyz sem odstranil ty dve sekce tak dokonce zmizela i ikona notepadu(coz napovida o poruseni resources) a cely exe se uplne rozhasil.
-
Tak konecne se mi uvolniho trochu casu,tak sem pro vas natocil video MUP.Tak ho vyuzijte v dobrem ;)
http://unpackschool.free-site-host.com/UnpackingSchool/AsPACK/solutions/Master/AsPack2_12rar
-
...mam dojem, ze aspack by sa mal dat rozbalit tak, ze v olly dam hladat instrukciu "push 0", a hned po "push 0" by sa mala pushovat nejaka konkretna adresa, ktora je vlastne OEP(skoci sa tam pomocou ret)...
-
Je to tak, niekde ni??ie sa nachádza push 00000000 (binárne 6800000000) a táto hodnota (tie nuly, DWORD) sa neskor?ie prepí?e na OEP, tak?e skriptík je tým pádom veľmi jednoduchý a taktie? i generic unpacker.
Master: Som si pozeral to tvoje video a nejako dlho sa ti načítali moduly... :)
-
No ono by to slo pres tu ale je jednodussi mozna pockat si na BP na tom retu a zjistit si hodnotu,kam to ma skocit.
Jo dlouho,zrovna se mi instaloval world of warcraft :( a necekal sem,ze to bude mit takovy efekt.