RE FORUM

[REVERSE ENGINEERING] => Tools => Topic started by: llAmElliK on May 13, 2007, 03:04:35 PM

Title: DiE-PE snifer
Post by: llAmElliK on May 13, 2007, 03:04:35 PM

Objevil jsem tenhle nastroj - mozny ekvivalent za PEiD - zajimave funkce ;-)
(btw - muzete zkusit "unpacknout")

Title: Re: DiE-PE snifer
Post by: llAmElliK on May 14, 2007, 06:46:44 PM

Zkousel nikdo ten "unpack"?Pokud by to nikoho zajimalo mam...celkem lehka "decrypce":)

Title: Re: DiE-PE snifer
Post by: eraser on May 15, 2007, 08:49:55 PM

Som to letmo omrkol a vidím, ?e tam borec pou?íva detekciu INT 1h a zjavne nie len raz...   Zaujímavosťou je, ?e DiE uvádza v disassemble tento preklad: F1  icebp. :)

Postupoval si ručne, či má? nejakú vychytávku, ako ignorovať výnimku, ktorú spôsobí INT 1h a tým vykonať SEH obsluhu? Ja som i?iel manuálne, ale nejako sa mi to dorvalo, no aplikácia sa unpackovala a v pohode spustila, no nechápal som, ?e prečo, lebo som bol zrovna v krokovaní.

Title: Re: DiE-PE snifer
Post by: llAmElliK on May 15, 2007, 09:18:42 PM

Mam funkcni dump - unpack.

Title: Re: DiE-PE snifer
Post by: Z!L0G80 on May 17, 2007, 01:25:06 AM

Quote from: llAmElliK

Mam funkcni dump - unpack.

btw> me stacilo cca 5 minut a ollydump :)

Title: Re: DiE-PE snifer
Post by: eraser on May 17, 2007, 02:11:26 AM

To si dobrý, ja som sa práve s tým doka?lal, trvalo mi to, tak asi 10-15 minút, trochu som sa s tým hral a prezeral. Včera som to chcel silou mocou krokovať, ale to som sa nechytal. Dneska som sa k tomu vrátil, ?e to aspoň dumpnem. Pou?il som OllyDbg, Cmdline, OllyDump a ImpREC. Funkčný dump má 1 282 048 bajtov.

Zistili ste niekto, čo je to za packer, mne to vypisuje, ?e ide o modifikovaný UPX. Tá sekcia SiE 0.3 mi nič nehovorí.

Title: Re: DiE-PE snifer
Post by: pr0p4g4nd4 on May 21, 2007, 09:31:48 AM

Manualny unpack nie je nic narocne nic tazke. Teda aspom v tomto pripade to nic tazke nebolo.

Maly tut: otvorit target v olly, alt+m, dat mem bp na access na v poradi tretiu sekciu(sekcia, kt. obsahuje data),f9,alt+m, zrusit mem bp, teraz dat mem bp na access na prvu sekciu(najvacsiu code sekciu), f9, alt+m, zrusit bp, alt+c,ctrl+a, scroll dole po jump, kt. skace do inej sekcie(00532F23 JMP 004E3DC0), bp na ten jump, f9, f8 > OEP, dumpnut a rebuildnut importy

Inac aj mne ukazal PEiD, ze je to nejaky druh UPX. Ale nejako sa mi nezda, ze by to bola pravda. Aj ked ako pise ERASER moze ist o nejaku modifikovanu verziu.

Title: Re: DiE-PE snifer
Post by: eraser on May 21, 2007, 11:18:14 AM

Môj postup spočíval v týchto pár krokoch:

1. bp na GetModuleHandleA funkciu (CmdLine plugin)
2. Shift+F9 - Pass exception to standard handler and run
3. Set new origin - asi 15 sekúnd hľadania, resp. vracania sa z podfunkcie
4. DUMP (OllyDump plugin)
5. Rebuild importov (ImpREC)

Title: Re: DiE-PE snifer
Post by: pr0p4g4nd4 on May 22, 2007, 09:27:58 AM

Quote from: eraser

Môj postup spočíval v týchto pár krokoch:

1. bp na GetModuleHandleA funkciu (CmdLine plugin)
2. Shift+F9 - Pass exception to standard handler and run
3. Set new origin - asi 15 sekúnd hžadania, resp. vracania sa z podfunkcie
4. DUMP (OllyDump plugin)
5. Rebuild importov (ImpREC)

Moj postup je lahsi a aj rychlejsi  :p  :rolleyes:

Title: Re: DiE-PE snifer
Post by: eraser on May 24, 2007, 12:21:41 PM

?ikovný postup, pr0p4g4nd4... e?te som ho tro?ku urýchlil. Inak díkes za feedback, lebo najskôr som bol z toho tro?ku zmätený, resp. som sa zamotal na zlej sekcii.  :)

1. Show memory window (ALT+M)
2. 401000 - 000B7000  DiE sekcia - F2
3. F9
4. scroll down - 00532F23:   jmp 004E3DC0
5. F2
6. F9
7. F8

OEP - Analyse code (CTRL+A), Dump, ImpREC

Klasické F2 breakpointy sú v tomto prípade ?ikovnej?ie v tom, ?e ich nemusím po ich dosiahnutí odstraňovať. A funguje to... ;)