Author Topic: DiE-PE snifer (Read 690 times)

llAmElliK · « **on:** May 13, 2007, 03:04:35 PM »

Objevil jsem tenhle nastroj - mozny ekvivalent za PEiD - zajimave funkce ;-)
(btw - muzete zkusit "unpacknout")

llAmElliK · « **Reply #1 on:** May 14, 2007, 06:46:44 PM »

Zkousel nikdo ten "unpack"?Pokud by to nikoho zajimalo mam...celkem lehka "decrypce"

eraser · « **Reply #2 on:** May 15, 2007, 08:49:55 PM »

Som to letmo omrkol a vidím, ?e tam borec pou?íva detekciu INT 1h a zjavne nie len raz... Zaujímavosťou je, ?e DiE uvádza v disassemble tento preklad: F1 icebp.

Postupoval si ručne, či má? nejakú vychytávku, ako ignorovať výnimku, ktorú spôsobí INT 1h a tým vykonať SEH obsluhu? Ja som i?iel manuálne, ale nejako sa mi to dorvalo, no aplikácia sa unpackovala a v pohode spustila, no nechápal som, ?e prečo, lebo som bol zrovna v krokovaní.

llAmElliK · « **Reply #3 on:** May 15, 2007, 09:18:42 PM »

Mam funkcni dump - unpack.

Z!L0G80 · « **Reply #4 on:** May 17, 2007, 01:25:06 AM »

Quote from: llAmElliK

Mam funkcni dump - unpack.

btw> me stacilo cca 5 minut a ollydump

eraser · « **Reply #5 on:** May 17, 2007, 02:11:26 AM »

To si dobrý, ja som sa práve s tým doka?lal, trvalo mi to, tak asi 10-15 minút, trochu som sa s tým hral a prezeral. Včera som to chcel silou mocou krokovať, ale to som sa nechytal. Dneska som sa k tomu vrátil, ?e to aspoň dumpnem. Pou?il som OllyDbg, Cmdline, OllyDump a ImpREC. Funkčný dump má 1 282 048 bajtov.

Zistili ste niekto, čo je to za packer, mne to vypisuje, ?e ide o modifikovaný UPX. Tá sekcia SiE 0.3 mi nič nehovorí.

pr0p4g4nd4 · « **Reply #6 on:** May 21, 2007, 09:31:48 AM »

Manualny unpack nie je nic narocne nic tazke. Teda aspom v tomto pripade to nic tazke nebolo.

Maly tut: otvorit target v olly, alt+m, dat mem bp na access na v poradi tretiu sekciu(sekcia, kt. obsahuje data),f9,alt+m, zrusit mem bp, teraz dat mem bp na access na prvu sekciu(najvacsiu code sekciu), f9, alt+m, zrusit bp, alt+c,ctrl+a, scroll dole po jump, kt. skace do inej sekcie(00532F23 JMP 004E3DC0), bp na ten jump, f9, f8 > OEP, dumpnut a rebuildnut importy

Inac aj mne ukazal PEiD, ze je to nejaky druh UPX. Ale nejako sa mi nezda, ze by to bola pravda. Aj ked ako pise ERASER moze ist o nejaku modifikovanu verziu.

eraser · « **Reply #7 on:** May 21, 2007, 11:18:14 AM »

Môj postup spočíval v týchto pár krokoch:

1. bp na GetModuleHandleA funkciu (CmdLine plugin)
2. Shift+F9 - Pass exception to standard handler and run
3. Set new origin - asi 15 sekúnd hľadania, resp. vracania sa z podfunkcie
4. DUMP (OllyDump plugin)
5. Rebuild importov (ImpREC)

pr0p4g4nd4 · « **Reply #8 on:** May 22, 2007, 09:27:58 AM »

Quote from: eraser

Môj postup spočíval v týchto pár krokoch:

1. bp na GetModuleHandleA funkciu (CmdLine plugin)
2. Shift+F9 - Pass exception to standard handler and run
3. Set new origin - asi 15 sekúnd hžadania, resp. vracania sa z podfunkcie
4. DUMP (OllyDump plugin)
5. Rebuild importov (ImpREC)

Moj postup je lahsi a aj rychlejsi :p :rolleyes:

eraser · « **Reply #9 on:** May 24, 2007, 12:21:41 PM »

?ikovný postup, pr0p4g4nd4... e?te som ho tro?ku urýchlil. Inak díkes za feedback, lebo najskôr som bol z toho tro?ku zmätený, resp. som sa zamotal na zlej sekcii.

1. Show memory window (ALT+M)
2. 401000 - 000B7000 DiE sekcia - F2
3. F9
4. scroll down - 00532F23: jmp 004E3DC0
5. F2
6. F9
7. F8

OEP - Analyse code (CTRL+A), Dump, ImpREC

Klasické F2 breakpointy sú v tomto prípade ?ikovnej?ie v tom, ?e ich nemusím po ich dosiahnutí odstraňovať. A funguje to...

RE FORUM

News:

Author Topic: DiE-PE snifer (Read 690 times)

llAmElliK

DiE-PE snifer

llAmElliK

Re: DiE-PE snifer

eraser

Re: DiE-PE snifer

llAmElliK

Re: DiE-PE snifer

Z!L0G80

Re: DiE-PE snifer

eraser

Re: DiE-PE snifer

pr0p4g4nd4

Re: DiE-PE snifer

eraser

Re: DiE-PE snifer

pr0p4g4nd4

Re: DiE-PE snifer

eraser

Re: DiE-PE snifer