Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Распаковка Армадилло с IAT Elimination (часть 1)

Обсудить статью на форуме

Очень удобно, когда все крэкерские инструменты, книги и статьи в одном месте. Используйте сборник от EXELAB - вот тут.

Автор: R.Narvaja / estet / MARcoDEN <--- / estet@hotbox.ru / --->


ARMADILLO - ЗАЩИЩЕННАЯ ТАБЛИЦА ИМПОРТА

Безусловно, мы не знаем все сюрпризы, которые для нас приготовили разработчики. На примере нескольких программ я покажу некоторые из них. Жертва первая - программа HYPERSNAP 5.5 и вторая - программа POLYPHONIC WIZARD. Их вы можете найти на моем FTP.
Начнем разбираться с HYPERSNAP. Авторы этой программы тщательно изучили наши туториалы, и видимо благодаря этому, они оставили идею использования знаменитой copymem2, по крайней мере, до настоящего времени я не видел copymem2 в новых версиях (я думаю, что это версии armadillo старше 3.61).

Я предупреждаю любителей старины SoftIce: эта версия armadillo не будет работать, если установлен SoftIce. Так что если вы хотите работать именно с ним, то вам нужно избежать обнаружения.



Итак, мы стоим на EP. Единственное, что осталось от предыдущего метода и что продолжает функционировать, состоит в том, чтобы поставить бряк на первую секцию. Запустив программу, мы остановимся на OEP без проблем после нескольких exception.



Активируем плагин IsDebuggerPresent, жмем F9 и прерываемся на первом exception.



Продолжаем (SHIFT+ F9)





OEP



OEP, как и раньше, 4E8120. Теперь поищем таблицу через бинарный поиск (CTRL+B) - введем FF 25







Попадем на первый переход таблицы



Видно, что эта таблица вне нашего файла. На моем компьютере этот адрес равен 3C8D6C, у вас адрес может отличаться, но смысл один – он указывает на зону armadillo.
Посмотрим на таблицу в дампе FOLLOW IN DUMP -> MEMORY ADDRESS



Здесь есть корректные значения и значение, указывающие на зону armadillo: на моем компьютере это адреса DCxxxx.

Итак, что мы же имеем, и что нам не хватает: мы знаем OEP, у нас есть таблица с большим количеством редиректов в зону armadillo. Мы должны сделать так, чтобы таблица встала на свое место (внутри exe-файла), или создать таблицу где-нибудь и потом скопировать ее в нужное место перед запуском программы. Сейчас попробуем упорядочить таблицу так, чтобы в ней были все правильные значения.

СБОР ИНФОРМАЦИИ

Сперва найдем начало и конец таблицы



Начало - 3C83A8



Конец - 3c9134

Выделим таблицу, скопируем ее в буфер и сохраним в Блокноте. В дальнейшем будем с ней консультироваться. Просмотрим на правильные значения таблицы:

 003C83AC  DB 7B D1 77    8A A9 D3 77  &#219;{&#209;w&#352;©&#211;w
 003C83B4  3C 65 C4 77    37 5E E5 77  <e&#196;w7^&#229;w
 
Первое - 77D17BDB. Запишем его и перезапустим программу. Ставим брейкпоинт



В окне Breakpoints дважды кликаем на установленном BP



и попадаем сюда



Удаляем брейкпоинт и ищем выход (ret) из API



В этом месте поставим условный бряк с записью в лог (SHIFT+F4), зная, что в регистре EAX хранится значение API.





Сейчас возобновляем программу и доходим до OEP. Смотрим, что в логах:



Интересные результаты.

Продолжим в следующей части.



Автор: Ricardo Narvaja
Перевод: Estet
Редактор: MARcoDEN



Обсуждение статьи: Распаковка Армадилло с IAT Elimination (часть 1) >>>


Комментарии к статье: Распаковка Армадилло с IAT Elimination (часть 1)

Ara 12.12.2004 23:16:33
а без графики обойтись нельзя было? У кого картинки отключены (типа меня), видят полный бред
---
estet 13.12.2004 14:15:10
Если картинки перерабатывать в текст, то обьём tutor-а ещё увеличится (а их там и так 6 частей) да и времени на переработку нет.
BTW картинки png-шные - грузиться должны недолго...
---
specz 14.12.2004 19:00:06
Не, картинки это имхо вещь нужная, особеено когда речь идёт о распаковке Армы...
---
MARcoDEN 16.12.2004 20:19:53
ИМХО супер туторы ;)
Респект Нарвае!
---
guest 22.12.2004 18:30:53
Еще бы слэши в ссылках на рисунки правильные поставить... ;-)
---
Xilanty 27.01.2005 22:06:55
Кто-нибудь может подсказать FTP автора, на который он ссылается? Не смог найти подопытную прогу, в сети только более новая версия, код другой :-( Респект заранее.
---
MC707 29.01.2005 13:20:07
Нарваха молодец, респект ему. Но...
Зачем делать лишние телодвижения. Например:
Попали на ОЕР. По Нарвахе имхо извращенным способом ищем IAT. Проще посмотреть на пару строчек ниже. Посмотрите на рисунок http://www.cracklab.ru/art/i/1/image011.png. По адресу 4E8146 видим вызов АПИ. Ждем по нему правой крысой и выбираем Follow in Dump. В окне дампа до упора выше поднимаемся и видим начало IAT.
---
MC707 29.01.2005 13:58:56
ftp автора только для частного доступа. Публичный доступ на него закрыт :(
---

Материалы находятся на сайте https://exelab.ru



Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS