Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Ручная распаковка NeoLite

Обсудить статью на форуме

Массу крэкерских инструментов, видеоуроков и статей вы сможете найти на видеокурсе от нашего сайта. Подробнее здесь.
Description : [WIN] VisNetic Firewall 2.0.7
Crack subject : 30 days trial
Crack made by : Runtime_err0r
Crack made at : 27-08-2003
Comments : http://www.deerfield.com/products/VisNetic_Firewall/
Protection : ( )Beginner (X)Intermediate ( )Advanced ( )Expert
Time for hack : 00:20
Type of hack : Bit Hack
Used packer : NeoLite
Used unpacker : Manual
File size : 377711 bytes
Src language : Visual C++
Price : $69.95
Used tools : PEiD 0.9, TRW2000, ImpRec, HIEW, LordPE
Under Music : Radio ULTRA (100.5 FM)


Внимание !!!
Данная статья носит образовательный характер и предназначена для разработчиков программных защит.
Автор не несёт никакой ответственности за возможное использование материалов данной статьи в противозаконных целях.

Сейчас мы займёмся распаковкой пакера NeoLite. Несмотря на то, что этот пакер довольно древний и малораспространённый, распаковать его с ходу мне не удалось. Хотя многие анпакеры позволяют его распаковать автоматически (ProcDump, GUW32, SCU), но после распаковки файл запускается только на том же компьютере, а на остальных выдаёт ошибку. Все туториалы по ручной распаковке, которые мне удалось нарыть в Интернете были во-первых на английском, а во-вторых там не было ни слова про восстановление таблицы импорта, поэтому толку от них нет никакого.
В качестве цели я выбрал программу VisNetic Firewall. Главный файл DFW.exe запакован NeoLite'ом, им то мы и займёмся.
Прежде всего, надо найти OEP, в данном случае это не просто, а очень просто: можно загрузить файл в дебаггер TRW2000 и ввести команду pnewsec, или дойти до OEP самостоятельно:
Самое начало кода:
 0167:0055921E ADD [EAX],AL
 0167:00559220 JMP 005592CB
 0167:00559225 XOR [EBX+90D00055],CH
 0167:0055922B PUSH EBP
 0167:0055922C ADD AH,DL
 0167:0055922E NOP
 
Теперь мы здесь:
 0167:005592CB MOV EAX,[ESP+04]
 0167:005592CF AND EAX,[00559231]
 0167:005592D5 CALL 0055964B << распаковка
 0167:005592DA INC BYTE [005592CA]
 0167:005592E0 JMP EAX << прыжок на OEP
 0167:005592E2 CMP BYTE [005592CA],00
 0167:005592E9 JNZ 005592FE
 0167:005592EB NOP
 
Вот и OEP:
 0167:0044E090 PUSH EBP
 0167:0044E091 MOV EBP,ESP
 0167:0044E093 PUSH BYTE -01
 0167:0044E095 PUSH DWORD 00456688
 0167:0044E09A PUSH DWORD 0044CD1C
 0167:0044E09F MOV EAX,[FS:00]
 0167:0044E0A5 PUSH EAX
 0167:0044E0A6 MOV [FS:00],ESP
 0167:0044E0AD SUB ESP,BYTE +58
 0167:0044E0B0 PUSH EBX
 0167:0044E0B1 PUSH ESI
 0167:0044E0B2 PUSH EDI
 
Теперь можно дампить, для этого в TRW есть плагин PEDUMP, только вот сам он у меня не подцепился, поэтому прищлось прописать его вручную в файле TRW2000.INI:
PLUGS=C:\TRW\SYS\PEDUMP.SYS

Так что вводим команду pedump и получаем файл DUMP1.EXE (1438240 байт). Он запускается на том компе, где его сдампили, но на других он запускаться не будет, потому что надо ещё восстановить таблицу импорта. Для этого нам понадобиться операционная система Windows XP (или Windows 2000). Так что перезагружайтесь (если вы, конечно, пользовались для снятия дампа TRW) и запускайте DFW.exe и Import Reconstructor.
В ImpRec'е жмём на кнопку Options и делаем Buffer Size побольше - 10000, теперь выбираем в списке процессов DEF.exe и жмём Get Imports - всё отресольвилось без проблем ! Теперь Fix Dump - выбираем наш дамп DUMP1.EXE и ImpRec создаёт файл DUMP1_.EXE с полносью. восстановленным импортом. Всё - программа полностью распакована и готова к дальнейшему исследованию (которое я не буду описывать в этой статье - там надо только заменить в одном месте xor al,al на mov al,1, а где именно - ищите сами), осталось только запустить LordPE и сделать Rebuild PE - размер файла уменьшится почти в 2 раза (800202 байта) !!!

Обсуждение статьи: Ручная распаковка NeoLite >>>


Материалы находятся на сайте https://exelab.ru



Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS