eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Adler (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› SmartWhois v4.3 build 216 - и чем они теперь пакуют сие чудо?
Посл.ответ Сообщение


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 18 мая 2008 15:36 New!
Цитата · Личное сообщение · #1

Ну, крайне-полезная тулза, рассказывать о работе которой не имеет смысла. Всегда запаковывалась аспром (вплоть до билда 215), который без труда снимался стрипером. Потом правилось ручками и всё работало. Начиная с билда 216 они упаковали его чем-то непонятным. Возможно самописный пакер (или на основе другого пакера), возможно какой-то очень редкий зверь. В принципе, файло спокойно лаодерится и даже инлайнится (если инлайн на дупе можно назвать инлайном), однако это не всегда работает. А именно: лоадер частенько не находит байты, а после применения патча первый запуск после загрузки системы или при долгом простое - прога закрывается.
Пытался анпакнуть. ОЕР вроде нашёл, но на импорте реконструктор тупо виснет. Квипанпак выкидывает комп в бсод. Хотя антиотладочных механизмов и прочей мути я не заметил...
Так чем они теперь пакуют сабж?
tamos.com/bitrix/redirect.php?event1=download&event2=smartwhois&event3=&goto=/files/sw4.zip


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 18 мая 2008 15:45 New!
Цитата · Личное сообщение · #2

чем-то РеР напоминает...


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 18 мая 2008 15:47 New!
Цитата · Личное сообщение · #3

эм... я не думаю, что PeP позволил бы спокойно запускать себя под олькой, а потом ещё и инлайнить... мне сначало почему-то подумалось, что это Gleam... но тоже вряд ли...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 18 мая 2008 15:51 New!
Цитата · Личное сообщение · #4

Talula
запости стартовый код и секции посмотреть

Ранг: 214.7 (наставник)
Статус: Участник

Создано: 18 мая 2008 15:52 · Поправил: v0id2k New!
Цитата · Личное сообщение · #5

--> Распакованый <--
Вроде распаковал, но в коде явно какая то каша осталась, похоже на прот с маркерами.
ЗЫ: яхз чем была запакована.
ЗЫЫ: ваще то отдельный топик есть --> Link <--

pavka
007B2726 > 68 11B81BA9 push A91BB811
007B272B E8 D2B80F00 call sw.008AE002
007B2730 CB retf
007B2731 9A 11BA0585 349>call far 9834:8505BA11
007B2738 0D A7089938 or eax, 389908A7
007B273D B8 B981BC0C mov eax, 0CBC81B9
007B2742 BA 5D05C511 mov edx, 11C5055D
007B2747 3385 0F50EFAE xor eax, dword ptr ss:[ebp+AEEF500F]
007B274D F9 stc
007B274E CB retf
007B274F 95 xchg eax, ebp
007B2750 C741 57 0CEE0F0>mov dword ptr ds:[ecx+57], 0E0FEE0C
007B2757 91 xchg eax, ecx
007B2758 B3 50 mov bl, 50
007B275A D4 C6 aam 0C6

явно без полиморфа не обошлось.

Секции:
CODE 00401000 00621668 R W X . L para 0001 public CODE 32 0000 0000 0001 FFFFFFFF FFFFFFFF
DATA 00622000 00632768 R W . . L para 0002 public DATA 32 0000 0000 0001 FFFFFFFF FFFFFFFF
BSS 00633000 006399D5 R W . . L para 0003 public 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.idata 0063A000 0063DA6E R W . . L para 0004 public DATA 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.tls 0063E000 0063E01C R W . . L para 0005 public 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.rdata 0063F000 0063F200 R W . . L para 0006 public DATA 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.gla0 00640000 0066128C R W X . L para 0007 public CODE 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.gla1 00703000 0071C7F2 R W X . L para 0008 public CODE 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.gla2 0071D000 008B0A00 R W X . L para 0009 public CODE 32 0000 0000 0001 FFFFFFFF FFFFFFFF


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 18 мая 2008 15:59 · Поправил: Talula New!
Цитата · Личное сообщение · #6

v0id2k, а можно технологию анпака? просто на эту версию мне плевать - она от прошлой сборки только упаковщиком отличается (все адреса в проге старые). а вот новую версию хочу нормальной распакованной выложить, а то слишком у многих лоадер работает через раз...
pavka, а сколько стартового кода надо? уже смотрю не надо...

Ранг: 214.7 (наставник)
Статус: Участник

Создано: 18 мая 2008 16:03 · Поправил: v0id2k New!
Цитата · Личное сообщение · #7

Talula
Хард бряк на esp-4, топаешь по F9 до такого места:
008AF506 9C pushfd
008AF507 8D6424 38 lea esp, dword ptr ss:[esp+38]
008AF50B E9 E8050000 jmp sw.008AFAF8
008AF510 F6D0 not al
008AF512 8A02 mov al, byte ptr ds:[edx]
008AF514 60 pushad
008AF515 66:8945 00 mov word ptr ss:[ebp], ax
008AF519 C64424 08 5A mov byte ptr ss:[esp+8], 5A
008AF51E 9C pushfd
008AF51F C60424 45 mov byte ptr ss:[esp], 45
008AF523 8D6424 28 lea esp, dword ptr ss:[esp+28]


Далее руками трэйсить до:
00621490 55 push ebp
00621491 8BEC mov ebp, esp
00621493 83C4 EC add esp, -14
00621496 53 push ebx
00621497 33C0 xor eax, eax
00621499 8945 EC mov dword ptr ss:[ebp-14], eax
0062149C B8 A80A6200 mov eax, sw.00620AA8
006214A1 E8 265EDEFF call sw.004072CC
006214A6 33C0 xor eax, eax
006214A8 55 push ebp
006214A9 68 31166200 push sw.00621631
006214AE 64:FF30 push dword ptr fs:[eax]


Вроде бы ОЕП, дальше аттач к процессу из КУ и фул онпак.

ЗЫ: знаю не самый изящный метод распаковки))

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 18 мая 2008 16:04 New!
Цитата · Личное сообщение · #8

v0id2k
Спасибо . Надо качнуть посмотреть


Ранг: 500.5 (!)
Статус: Участник

Создано: 18 мая 2008 16:04 New!
Цитата · Личное сообщение · #9

Какой то простой упаковщик, импорт не защищен вовсе, распаковывается элементарно, рекомендовал бы выкинуть неофициальные импреки ибо они к сожалению глюкалово, сам откатился на 1.6Final, на оеп можно через esp-4 вылезти через десяточек срабатываний.

Ранг: 214.7 (наставник)
Статус: Участник

Создано: 18 мая 2008 16:05 New!
Цитата · Личное сообщение · #10

Smon пишет:
на оеп можно через esp-4 вылезти через десяточек срабатываний

через десяточек это врятли, придецо ручками потрэйсить все же


Ранг: 500.5 (!)
Статус: Участник

Создано: 18 мая 2008 16:09 New!
Цитата · Личное сообщение · #11

v0id2k
специально посчитал, 13 бряков, останавливаемся на 00621491h, что на один байт ниже oep.

00621490 55 PUSH EBP
00621491 8BEC MOV EBP,ESP
00621493 83C4 EC ADD ESP,-14
00621496 53 PUSH EBX

Ранг: 214.7 (наставник)
Статус: Участник

Создано: 18 мая 2008 16:11 · Поправил: v0id2k New!
Цитата · Личное сообщение · #12

Smon
Читай мой пост выше как у меня получилось. У меня после пятого срабатывания просто прога запускаецо.
ЗЫ: а ваще ты прав, легкий прот, лучшеб аспр оставили))


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 18 мая 2008 16:15 New!
Цитата · Личное сообщение · #13

v0id2k, спасибо! я пытался по esp-4, но вот ручками видимо не там трейсил. КУ - QuickUnpack надо понимать?

v0id2k пишет:
ЗЫ: а ваще ты прав, легкий прот, лучшеб аспр оставили))


ну, так аспр снимается кем угодно при помощи стриппера, а тут... уже не каждый...

и всё-таки хотелось бы знать, что за зверь у них теперь на вооружении...

Ранг: 214.7 (наставник)
Статус: Участник

Создано: 18 мая 2008 16:19 · Поправил: v0id2k New!
Цитата · Личное сообщение · #14

Talula пишет:
я пытался по esp-4, но вот ручками видимо не там трейси

ставь хард бряк на 00621490, это и есть ОЕП
Talula пишет:
КУ - QuickUnpack надо понимать?

ога, он самый. Йа импреком уже давно не пользуюсь, имхо у ку механизм гораздо лучше
Talula пишет:
и всё-таки хотелось бы знать, что за зверь у них теперь на вооружении...

та вот не пофиг)) сняли и ладно


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 18 мая 2008 16:22 New!
Цитата · Личное сообщение · #15

v0id2k пишет:
та вот не пофиг)) сняли и ладно

не в этом дело. если он не самописный, то хотелось бы себе такой в коллекцию. те же патчи паковать =)

кстати, почему в нём патчинга некотрые то срабатывают, то остаются прежними?

Ранг: 214.7 (наставник)
Статус: Участник

Создано: 18 мая 2008 16:27 New!
Цитата · Личное сообщение · #16

Talula пишет:
кстати, почему в нём патчинга некотрые то срабатывают, то остаются прежними?

эээ, ты кажись какое то слово пропустил, йа ничего не понял)


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 18 мая 2008 16:42 New!
Цитата · Личное сообщение · #17

v0id2k, ещё в начале писал...
короче, делаю патч на дупе (типа, инлайн). патч запакованную прогу патчит - всё нормально. первый запуск. заголовки нормальные, но через пару секунд вылезает окошко, мол спасибо что потестил, триал закончен - не сработал переход. перезапускаешь - всё работает. после перезагрузки такая же фигня - первый запуск неудачный, остальные - работают...
почему переход - который должен быть безусловным несрабатывает? или это дуп так инлайнит?

Ранг: 214.7 (наставник)
Статус: Участник

Создано: 18 мая 2008 18:29 New!
Цитата · Личное сообщение · #18

Talula
Попробуй сам инлайн написать, без помощи дупа. И посмотри, будед норм инлайнить или нет


Ранг: 207.4 (наставник)
Статус: Участник
Jeefo Recovery

Создано: 18 мая 2008 18:45 New!
Цитата · Личное сообщение · #19

Или просто где-то еще осуществляется переход....

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 19 мая 2008 03:21 New!
Цитата · Личное сообщение · #20

v0id2k пишет:
ты прав, легкий прот

Так там основное обработаные VM процедуры весьма не хилой надо сказать

Ранг: 214.7 (наставник)
Статус: Участник

Создано: 19 мая 2008 04:04 New!
Цитата · Личное сообщение · #21

pavka
йа особо внутрь не смотрел, так глянул увидел что каша есть какаято в коде, вм дак вм)
ЗЫ: пробовал разобрать?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 19 мая 2008 08:50 New!
Цитата · Личное сообщение · #22

v0id2k пишет:
пробовал разобрать?

Не пока не пробовал. Так просмотрел там на шару ловить не фиг надо серьезно присаживаться


Ранг: 500.5 (!)
Статус: Участник

Создано: 19 мая 2008 10:23 · Поправил: Smon New!
Цитата · Личное сообщение · #23

вм довольно немаленькая и похожа на какую то самописную, т.е. это явно не vmprotect и не codevirtualizer, причём забавно, что код вм лежит как в секции кода, так и в секции .gla0, сама таблица вм лежит в .gla1.

Добавлено: В общем разработчики выбросили якорь, вм навешана не по уму, так что взлом новой версии не сложней чем старой, и производится патчем двух байт.

Ранг: 7.2 (гость)
Статус: Участник

Создано: 20 мая 2008 22:44 · Поправил: Simargl New!
Цитата · Личное сообщение · #24

я не очень продвинут в распаковке протов, но это чудо мне все же распаковать удалось.
но опять таки, процес немного отличается от того, что написали v0id2k и Smon.
по hr esp-4 дойти до оеп никак не удалось. у меня после третего бряка прога запускается.
пробовал трейсить после этого:

008AF506 9C pushfd
008AF507 8D6424 38 lea esp, dword ptr ss:[esp+38]
008AF50B E9 E8050000 jmp sw.008AFAF8
008AF510 F6D0 not al
008AF512 8A02 mov al, byte ptr ds:[edx]
008AF514 60 pushad
008AF515 66:8945 00 mov word ptr ss:[ebp], ax
008AF519 C64424 08 5A mov byte ptr ss:[esp+8], 5A


ничего не получилось. ушел в бесконечный цикл.

тогда решил поити другим путем: после срабатывания последнего бряка на hr esp-4 поставил мемори бряк на секцию кода и оказался в таком месте:

0072175B AA STOS BYTE PTR ES:[EDI]
0072175C E9 A09E0000 JMP sw.0072B601
00721761 0000 ADD BYTE PTR DS:[EAX],AL
00721763 57 PUSH EDI
00721764 53 PUSH EBX
00721765 41 INC ECX
00721766 47 INC EDI
00721767 65:74 4C JE SHORT sw.007217B6 ; Superfluous prefix
0072176A 61 POPAD
0072176B 73 74 JNB SHORT sw.007217E1
0072176D 45 INC EBP
0072176E 72 72 JB SHORT sw.007217E2
00721770 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
00721771 72 00 JB SHORT sw.00721773


после этого было еще одно срабатывание хардварного бряка. тогда снова поставил мемори брейкпоинт на секцию кода и оказался прямо на оеп.

00621490 55 PUSH EBP
00621491 8BEC MOV EBP,ESP
00621493 83C4 EC ADD ESP,-14
00621496 53 PUSH EBX
00621497 33C0 XOR EAX,EAX
00621499 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
0062149C B8 A80A6200 MOV EAX,sw.00620AA8
006214A1 E8 265EDEFF CALL sw.004072CC


с импортом проблем не было.

теперь вопрос: какого черта у всех по разному получается?


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 20 мая 2008 22:52 New!
Цитата · Личное сообщение · #25

Simargl пишет:
с импортом проблем не было.

через импрек или по способу с QU?

Ранг: 7.2 (гость)
Статус: Участник

Создано: 20 мая 2008 22:55 New!
Цитата · Личное сообщение · #26

Talula пишет:
через импрек или по способу с QU?


с помощью QU. импрек у меня глохнет на этом чуде.


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 20 мая 2008 22:57 New!
Цитата · Личное сообщение · #27

и у меня глохнет... хотелось бы из принципа полностью ручного анпака... ладно, будем через QU делать...


Ранг: 340.0 (мудрец)
Статус: Участник
THETA

Создано: 20 мая 2008 23:36 New!
Цитата · Личное сообщение · #28

Simargl пишет:
по hr esp-4 дойти до оеп никак не удалось. у меня после третего бряка прога запускается.

По ходу дела, зависит от билда OlyDbg. У меня же получилось.

Ранг: 7.2 (гость)
Статус: Участник

Создано: 20 мая 2008 23:52 New!
Цитата · Личное сообщение · #29

FrenFolio пишет:
По ходу дела, зависит от билда OlyDbg. У меня же получилось.

неа, я тоже сначала так подумал и начал менять билды ольки. единственное чего удалось добиться таким способом, так только рандомного количества срабатывания бряка на hr esp-4 (от трех до девяти), но на оеп так и не попал . возможно дело в самом полиморфе... яхз...
 eXeL@B —› Основной форум —› SmartWhois v4.3 build 216 - и чем они теперь пакуют сие чудо?

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS