request: pecompact

[xexe]

mate nekdo plz source na jakoukoliv verzi un/pecompact ?

[DARKER]

Pozri sem:

Code: [Select]

http://www.tuts4you.com/forum/index.php?showtopic=8657
(nutna registracia)

tiez sa pozri po Yoda UnPECompact vydal to aj so zdrojakmi ale jeho stranka je uz davno down, skus mu napisat, da sa s nim komunikovat raz som nieco od neho chcel a bol celkom ochotny ... (pravdepodobne to bude ale na staru verziu)

[xexe]

jo dik.. to je prave vec co nechci ... ceka az se aplikacka rozbali sama jako to dela olly script na pecompact.. ja bych potreboval abych ji rozbalil externe (bez spusteni zapackovaneho souboru)

[xexe]

update: hledam to na verzi 2.xx

[pr0p4g4nd4]

No na par sekund som sa na to kukol(ale fakt len par sekund). Tu je par dristov(moje l33t poznamky - ak z toho nic nepochopis, tak si z toho nic nerob lebo ani ja by som z toho nic nechapal keby som to sam nepisal  :p  - mozno ti budu naprt ale mozno ani nie   ):

Code: [Select]

1, na ep dat FOLLOW IN DUMP/SELECTION:

00401000 B8 8C 7E 47 00           ¸Ś~G.

2, na byte 0b8 dat hwbp na write - f9

3, sme  tu:

003802A1    B9 23000000          MOV ECX,23
003802A6    03F2                 ADD ESI,EDX
003802A8    8B7B 40              MOV EDI,DWORD PTR DS:[EBX+40]
003802AB    03FA                 ADD EDI,EDX
003802AD    F3:A4                REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]    ;tu sme



4, zrusit hbwp na write a dat hwbp na x na 003802A1 - restart a f9

5, dotrasovat po adresu 003802A8 - v esi je kod kt sa bude kopirovat na 00401000


----------TENTO KOD IBA SKOPNE NAHRADNY KOD NA EP PROGRAMU----------


1, mame ep prepisany opat dame na ep FOLLOW IN DUMP/SELECTION:

00401000 6A 30 07 00              j0.

2, na byte 6A dat hwbp na write - f9

3, sme  tu:

0038002E    8807                 MOV BYTE PTR DS:[EDI],AL
00380030    83C7 01              ADD EDI,1

4, cize toto je kod kt depackuje original kod:

00380008    56                   PUSH ESI
00380009    57                   PUSH EDI
0038000A    53                   PUSH EBX
0038000B    55                   PUSH EBP
0038000C    8B7424 14            MOV ESI,DWORD PTR SS:[ESP+14]                    ; do ESI sa da buffer kde je kopia kodu sekcie .text
00380010    8B7C24 18            MOV EDI,DWORD PTR SS:[ESP+18]                    ; do EDI da ENTRY POINT cmecka(tj 00401000)
00380014    FC                   CLD
00380015    8B1E                 MOV EBX,DWORD PTR DS:[ESI]
00380017    83C6 04              ADD ESI,4
0038001A    85DB                 TEST EBX,EBX
0038001C    0F84 2A010000        JE 0038014C
00380022    BA 00000080          MOV EDX,80000000
00380027    03DF                 ADD EBX,EDI
00380029    8A06                 MOV AL,BYTE PTR DS:[ESI]
0038002B    83C6 01              ADD ESI,1
0038002E    8807                 MOV BYTE PTR DS:[EDI],AL
00380030    83C7 01              ADD EDI,1
00380033    B9 03000000          MOV ECX,3
00380038    03D2                 ADD EDX,EDX
0038003A    75 07                JNZ SHORT 00380043
0038003C    8B16                 MOV EDX,DWORD PTR DS:[ESI]
0038003E    8D76 04              LEA ESI,DWORD PTR DS:[ESI+4]
00380041    13D2                 ADC EDX,EDX
00380043  ^ 73 E4                JNB SHORT 00380029
00380045    3BFB                 CMP EDI,EBX
00380047    0F83 FF000000        JNB 0038014C
0038004D    53                   PUSH EBX
0038004E    55                   PUSH EBP
0038004F    57                   PUSH EDI
00380050    BB 01000000          MOV EBX,1
00380055    33ED                 XOR EBP,EBP
00380057    8BC3                 MOV EAX,EBX
00380059    8D7C1D 00            LEA EDI,DWORD PTR SS:[EBP+EBX]
0038005D    8BEB                 MOV EBP,EBX
0038005F    8BDF                 MOV EBX,EDI
00380061    03D2                 ADD EDX,EDX
00380063    75 07                JNZ SHORT 0038006C
00380065    8B16                 MOV EDX,DWORD PTR DS:[ESI]
00380067    8D76 04              LEA ESI,DWORD PTR DS:[ESI+4]
0038006A    13D2                 ADC EDX,EDX
0038006C  ^ 73 EB                JNB SHORT 00380059
0038006E    8D5C3D 00            LEA EBX,DWORD PTR SS:[EBP+EDI]
00380072    03C7                 ADD EAX,EDI
00380074    8BEF                 MOV EBP,EDI
00380076    03D2                 ADD EDX,EDX
00380078    75 07                JNZ SHORT 00380081
0038007A    8B16                 MOV EDX,DWORD PTR DS:[ESI]
0038007C    8D76 04              LEA ESI,DWORD PTR DS:[ESI+4]
0038007F    13D2                 ADC EDX,EDX
00380081  ^ 73 D6                JNB SHORT 00380059
00380083    5F                   POP EDI
00380084    5D                   POP EBP
sek
sek
0038013A    56                   PUSH ESI
0038013B    8BF7                 MOV ESI,EDI
0038013D    2BF0                 SUB ESI,EAX
0038013F    F3:A4                REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
00380141    5E                   POP ESI
00380142    B9 02000000          MOV ECX,2
00380147  ^ E9 ECFEFFFF          JMP 00380038
0038014C    8BC7                 MOV EAX,EDI                                      ; tu sa skac ked uz nejde loop(prvy hwbp)
0038014E    2B4424 18            SUB EAX,DWORD PTR SS:[ESP+18]
00380152    5D                   POP EBP
00380153    5B                   POP EBX
00380154    5F                   POP EDI
00380155    5E                   POP ESI
00380156    C2 0C00              RETN 0C


----------TENTO KOD DEPACKUJE KOD----------

tak isto opat dat hwbp na write na hned prvy call - FOLLOW IN DUMP - a dat tenbp na hned prvy byte vedla E8

;menia sa adresy callo a longjumpov


TOTO je ten kod:

00380510    8955 F8              MOV DWORD PTR SS:[EBP-8],EDX                     ; do ebp-8 da imagebase
00380513    33C0                 XOR EAX,EAX
00380515    8945 FC              MOV DWORD PTR SS:[EBP-4],EAX
00380518    66:8B46 10           MOV AX,WORD PTR DS:[ESI+10]
0038051C    A9 00020000          TEST EAX,200
00380521    0F85 8D000000        JNZ 003805B4
00380527    A9 08000000          TEST EAX,8
0038052C    0F84 99000000        JE 003805CB
00380532    51                   PUSH ECX
00380533    56                   PUSH ESI
00380534    8B7E 08              MOV EDI,DWORD PTR DS:[ESI+8]
00380537    33C9                 XOR ECX,ECX
00380539    0FB75E 12            MOVZX EBX,WORD PTR DS:[ESI+12]
0038053D    8B36                 MOV ESI,DWORD PTR DS:[ESI]
0038053F    0375 F8              ADD ESI,DWORD PTR SS:[EBP-8]
00380542    3BCF                 CMP ECX,EDI
00380544    7D 37                JGE SHORT 0038057D
sek
sek
003805CE    49                   DEC ECX
003805CF  ^ 0F85 3EFFFFFF        JNZ 00380513
003805D5    5E                   POP ESI
003805D6    5F                   POP EDI
003805D7    5B                   POP EBX
003805D8    C9                   LEAVE
003805D9    C2 0400              RETN 4

[xexe]

no, to je trosku slozitejsi... mas tam X algoritmu na kopresi a jeste je muzes kombinovat , jcalg, aplib, ffce (bez zdrojaku), etc...

[pr0p4g4nd4]

no, to je trosku slozitejsi... mas tam X algoritmu na kopresi a jeste je muzes kombinovat , jcalg, aplib, ffce (bez zdrojaku), etc...

Ved ano.. Kukal som na original packer a tam sa da vybrat aky algo chces..

Nezda sa mi ze by sa dali kombinovat.. Aj ked mozno sa mylim a mas ty pravdu..

No co ti budem hovorit.. Cele je to len o to ci si ochotny poreverzovat trosku.. Urcite ten packing nebude az taky zlozity si myslim..

Ak ti mozem poradit tak chyt do ruky ollyho a poreverzuj ten packer(nie nejaky packed target ale priamo packer).. Ak by si mal nejake konkretne problemy tak sa mozes spytat tu na fore(alebo icq)..