Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

OllyDBG vs Neolite v2.0

Обсудить статью на форуме

Массу крэкерских инструментов, видеоуроков и статей вы сможете найти на видеокурсе от нашего сайта. Подробнее здесь.

Автор: PraetorianS <praetorians@tr.dn.ua>

Здравствуйте дорогие новички, эта статья расчита как раз на вас.
Думаю она поможет вам распаковать такой пакер как NeoLite v2.0

Инструменты:


PEiD v0.92
Olly Debugger v1.10
PEditor 1.7 by yoda & M.o.D.
Import REConstructor v1.6

Распаковка


И так приступим. Жертва называется Hack Tracer, взять ее
можно по адресу: http://www.sharptechnology.com/bh-cons.htm
Я ее взял на диске Hard’n’Soft, №9
Не знаю на сколько она будет вам полезна.

Итак запускаем PEiD и натравливаем его на нашу жертву и
видим следующее: Neolite 2.0 -> Neoworx Inc. [Overlay]

Зашиту мы определили, теперь пора от нее избавится. Запускаем
Олю и в ней открываем нашу программу, сразу оговорюсь она
состоит из двух модулей HTLog.exe и HTTrey.exe, откроем сначала
HTLog.

Останавливаемся на ЕР программы, в этом месте

 0044C27C| > $ E9 A6000000                                       JMP HTLog.0044C327
 0044C281|     8CDB4400                                          DD HTLog.0044DB8C
 0044C285|   . F0C04400                                          DD <&KERNEL32.LoadLibraryA>
 0044C289|   . F4C04400                                          DD <&KERNEL32.GetProcAddress>
 0044C28D|   . 00000000                                          DD 00000000
 0044C291|   . 8C4B0000                                          DD 00004B8C
 0044C295|     3EC34400                                          DD HTLog.0044C33E
 0044C299|   . 4E 65 6F 4C 69 74 65 20 45 78 65 63 75 74 61 62   ASCII "NeoLite Executab"
 0044C2A9|   . 6C 65 20 46 69 6C 65 20 43 6F 6D 70 72 65 73 73   ASCII "le File Compress"
 0044C2B9|   . 6F 72 0D 0A 43 6F 70 79 72 69 67 68 74 20 28 63   ASCII "or Copyright (c"
 0044C2C9|   . 29 20 31 39 39 38 2C 31 39 39 39 20 4E 65 6F 57   ASCII ") 1998,1999 NeoW"
 0044C2D9|   . 6F 72 78 20 49 6E 63 0D 0A 50 6F 72 74 69 6F 6E   ASCII "orx Inc Portion"
 0044C2E9|   . 73 20 43 6F 70 79 72 69 67 68 74 20 28 63 29 20   ASCII "s Copyright (c) "
 0044C2F9|   . 31 39 39 37 2D 31 39 39 39 20 4C 65 65 20 48 61   ASCII "1997-1999 Lee Ha"
 0044C309|   . 73 69 75 6B 0D 0A 41 6C 6C 20 52 69 67 68 74 73   ASCII "siuk All Rights"
 0044C319|   . 20 52 65 73 65 72 76 65 64 2E 0D 0A 00            ASCII " Reserved. ",0
 0044C326|   . 00                                                DB 00
 

далее в командной строке набираем: hr esp-4 и нажимаем
Enter. И после F9.
Окажемся здесь:

 0044C6A7  |$ 53                 PUSH EBX
 0044C6A8  |. 51                 PUSH ECX
 0044C6A9  |. 52                 PUSH EDX
 0044C6AA  |. 56                 PUSH ESI
 0044C6AB  |. 57                 PUSH EDI
 0044C6AC  |. C8 E80200          ENTER 2E8,0
 0044C6B0  |. 50                 PUSH EAX
 0044C6B1  |. 81ED 82000000      SUB EBP,82
 0044C6B7  |. 8D95 9EFEFFFF      LEA EDX,DWORD PTR SS:[EBP-162]
 

Это не то место что нам нужно, жмем еще раз F9 и должны попасть
в такое место:

 0044C336   . FE05 26C34400      INC BYTE PTR DS:[44C326]  <----- Мы здесь
 0044C33C   . FFE0               JMP EAX                   <------OEP
 0044C33E   . 803D 26C34400 00   CMP BYTE PTR DS:[44C326],0
 0044C345   . 75 13              JNZ SHORT HTLog.0044C35A
 0044C347   . 90                 NOP
 0044C348   . 90                 NOP
 0044C349   . 90                 NOP
 0044C34A   . 90                 NOP
 0044C34B   . 50                 PUSH EAX
 0044C34C   . 2BC0               SUB EAX,EAX
 0044C34E   . E8 54030000        CALL HTLog.0044C6A7
 0044C353   . 58                 POP EAX
 0044C354   . FE05 26C34400      INC BYTE PTR DS:[44C326]
 0044C35A   > C3                 RETN
 

А вот это уже то что нам нужно, jmp eax является переходом на OEP
если помотреть содержимое eax увидим там 0040С8Е0, это адрес OEP,
его необходимо записать или запомнить :)
Нажмем F7 два раза и оважемся на точке входа в программу:

 0040C8E0   55                PUSH EBP     <----------Мы здесь
 0040C8E1   8BEC              MOV EBP,ESP
 0040C8E3   6A FF             PUSH -1
 0040C8E5   68 80A44100       PUSH HTLog.0041A480
 0040C8EA   68 98F34000       PUSH HTLog.0040F398
 0040C8EF   64:A1 00000000    MOV EAX,DWORD PTR FS:[0]
 0040C8F5   50                PUSH EAX
 

Теперь самое время снять дамп, открываем PEditor, нажимаем task, выбираем
наш процесс HTLog и "dump full"
Теперь откроем дамп в PEditor’е и в поле Entry Point запишем 0000С8Е0
Это значение получили следующим образом:
RVA OEP = OEP – Image Base=0040С8Е0-00400000=0000С8Е0
сохраним изменения, после подправим Checksum
Ну вот практически и все осталось востановить импорт, для этого воспользуемся
ImpREC. Запускаем HTLog вбираем его в дереве процессов, вписываем OEP, т.е.
0000С8Е0 ----> IAT AutoSearsh ----> Get Import ----> Fix Dump
Вот теперь точно все, осталось распаковать HTTrey и снять триал, но это я оставляю
вам в качестве тренировки.
Если что не так просьба не пинать, так как это моя первая статья!

Обсуждение статьи: OllyDBG vs Neolite v2.0 >>>


Комментарии к статье: OllyDBG vs Neolite v2.0

DLAP 26.06.2005 23:47:17
Статья хорошая, но даже я, новичёк, занимаюсь этим считанные дни, самостоятельно сломал этот пакер. Так что я не думаю, что этот пакер заслуживает особого внимание.
---
curious_reader 28.06.2005 16:37:05
Статья вышла в стиле \"Делай как я\". Можно было не полениьтся и расписать, что для чего нужно и почему именно так--толку больше было бы. Статьи про распаковку УПХ, написанные ранее дают все же больше предаставления о ПРИНЦИПЕ распаковки.
Спасибо за труды в любом случае.
---
SLV / ICU 28.06.2005 17:21:27
без обид но я не вижу смысла в таких статьях...
---
PraetorianS 27.06.2005 23:00:40
Возьму на заметку ваши замечания
---
HighHunter 29.06.2005 11:03:58
Смысл в таких статьях есть только если рассматривать серьезные протекторы. Или оригинальные разработки, которые сходу не заломишь. Например, объяснил бы популярно зачем нужен hr esp-4 или как пользоваться ImpREC. Без обид, но для новичка - непонятно, а для профи - абсолютно лишнее.
---
Gelios 06.07.2005 16:09:04
он и патчится довольно легко
---
$Evil`s_Interrupt 08.07.2005 23:47:13
ImpREC действительно было бы не плохо раскрыть, к примеру у меня до сих пор нормально его юзать не получается
---
<DDL> 19.07.2005 10:00:32
У Меня После Распаковки Neolite 2, И Запуска Распакованной Программы (не этой) Комп Выключается!
---
LTP 22.07.2005 10:13:35
Bit-h@ck уже писал о распаковке основных пакеров. А это имхо \"перепевы\" на ту же тему. Ничего нового в твоем способе расспаковки нет, он уже давно расписан.
---
gaiver 17.10.2007 23:20:27
а мне как раз такая статья и нужна была! как пример. Принцип я знал(читал какую-то другую статью, но там все делалось в СофтАйс), а вот что именно делать(в Ольке) я не знал.
---

Материалы находятся на сайте https://exelab.ru



Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS