Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Способ ручной распаковки Neolite 2.0

Обсудить статью на форуме

Массу крэкерских инструментов, видеоуроков и статей вы сможете найти на видеокурсе от нашего сайта. Подробнее здесь.

Автор: SLV <slv@superman.ru>

Автор: SLV.

Инструменты:
Import REConstructor v1.6 FINAL
PE Tools v1.5 Xmas Edition - by NEOx/[uinC]
PEditor 1.7 by yoda & M.o.D
winamp =)
На ctracklab-е я видел статью Runtime_err0r-а на тему распаковки эт этого packer-а. Там распаковка шла по специфической для отладчика TRW комманде \"pnewsec\". В итоге я сам решил попробовать распаковать Neolit. И получилось у меня распаковать способом, оттичным от вышеупомянутого. И сейчас я вам его покажу.
В PE Tools заходим в меню Tools->Break & Enter. Выбираем файл, пакованный Neolit-ом (это будет CrackMe v.1.5 by Tutin Michael, взять это можно здесь (www.ssllvv.nm.ru/Neolit.rar)). Так, чё там? А, выходит MessageBoxA с надписью типа \"Введите в айсе bpint3 и кликайте OK\". Выполним просьбу программы, и жмём OK. Попадаем сюда:

0167:004501E8 CC INT 3 <- Мы тут
0167:004501E9 A6 CMPSB
0167:004501EA 0000 ADD [EAX],AL
0167:004501EC 00681D ADD [EAX+1D],CH
0167:004501EF 45 INC EBP
0167:004501F0 00A0004500A4 ADD [EAX+A4004500],AH
0167:004501F6 004500 ADD [EBP+00],AL
0167:004501F9 0000 ADD [EAX],AL
0167:004501FB 0000 ADD [EAX],AL
0167:004501FD 682D0000AA PUSH AA00002D
0167:00450202 024500 ADD AL,[EBP+00]

Прописываем EB EIP 0xE9; bc *; bpm esp-4. Давим F5 и вываливаемся здесь:

0167:0045078E C3 RET
0167:0045078F 53 PUSH EBX
0167:00450790 51 PUSH ECX
0167:00450791 52 PUSH EDX
0167:00450792 56 PUSH ESI
0167:00450793 57 PUSH EDI
0167:00450794 C8240300 ENTER 0324,00
0167:00450798 50 PUSH EAX
0167:00450799 81ED82000000 SUB EBP,00000082
0167:0045079F 8D9562FEFFFF LEA EDX,[EBP-019E]
0167:004507A5 B8C7024500 MOV EAX,004502C7

Чё-то не то, жмём F5 once again и.. вот оно:

0167:0045029D E8ED040000 CALL 0045078F
0167:004502A2 FE0592024500 INC BYTE PTR [00450292] <- Мы здесь
0167:004502A8 FFE0 JMP EAX
0167:004502AA 803D9202450000 CMP BYTE PTR [00450292],00
0167:004502B1 7513 JNZ 004502C6
0167:004502B3 90 NOP
0167:004502B4 90 NOP
0167:004502B5 90 NOP
0167:004502B6 90 NOP
0167:004502B7 50 PUSH EAX
0167:004502B8 2BC0 SUB EAX,EAX

Всё ясно, смотрим, чё в eax-е, а там.. OEP = 44044C. конечно же, в стек кладётся адрес и далее командой ret осуществляется прыжок на него. Теперь и дампить можно. Как обычно зацикливаем прогу (a; jmp eip). Далее открвываем PEditor, Tasks, выбирайм наш зацикленный процесс и делаем Dump Full и, потом, TerminateProcess. Теперь у нас есть dump и OEP. Запускаем исследуемый CrackMe, потом ImpRec, и выбираем в ComboBox-е путь к CrackMe.exe. В поле OEP записываем значение, равное OEP - ImageBase = 4044C. Жмём \"IAT Auto Search\" и полечаем импорт без единой Invalid Function. Прикручиваем его к дампу (fix dump) и радуемся жизни.
З.Ы. Надеюсь эта статья поможет Вам распаковать хотя бы одну прогу или развеит какие-либо сомнения по какому-либо поводу. Спасибо за интерес к статье.

Обсуждение статьи: Способ ручной распаковки Neolite 2.0 >>>


Комментарии к статье: Способ ручной распаковки Neolite 2.0

Mafia32/[TLRH] 10.06.2004 23:35:32
Оценку я поставил 5, хотя статью не читал. Просто дам комментарий... Если мы будем писать статью по распаковке каждого существующего пакера, то cracklab нужно будет переименовать unpacklab и выделить под это отдельный сервак. Голова на что? Это ж пакер... и статья. А если протекторы все собрать и писать про них? Хотя если нравится - пиши. Bad_Guy разместит. Но я это читать все равно не буду, мне доки по анпаку тока мешают. :-)
---
DITREX 11.06.2004 08:41:43
Mafia32/[TLRH]
Я с тобой полностью согласен. Распаковка этого пакера ни чем не отличается от распаковки UPX\’a.
SLV попробуй на досуге расковырять NeoLite 1.1 вроде старый, а распаковать его куда сложней, относительно версии 2.0

---
Alone 13.06.2004 02:09:10
А мне нравится. Хорошая статья, понятно написаная. Ставлю пять с плюсом. :)
---
SLV 13.06.2004 13:29:08
Спасибо за комментарии.
---
AlexZ 13.06.2004 14:10:28
Ёпрст... Да это-же как обычный UPX! Смысл?
----
Сайс используешь, а в инструментах нету. Видимо, он у тебя ВСЕГДА загружен по умолчанию.
Да, и исправь ret на jmp в последнем абзаце.
PS. Здесь PE-Tools без PEditor вполне хватит.
[IMHO]
---
tgt 04.12.2004 10:35:34
ggg
---

Материалы находятся на сайте https://exelab.ru



Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS