eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Странный UPX
Посл.ответ Сообщение

Ранг: 1.5 (гость)
Статус: Участник

Создано: 26 сентября 2015 00:02 New!
Цитата · Личное сообщение · #1

Приветствую!
Товарищи, нужна помощь! Препод дал нам свою методу не в pdf, а в exe. Оказался параноиком)
Суть в том, что это сделано в программе PDF2EXE, как я понял. Сначала, пробил через PEiD, и увидел: UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo [Overlay]
Стал распаковывать, и увидел стандартную PUSHAD, и дошел до POPAD, а тут начался непонятный "ХОРОВОД", сразу после POPAD идет цикл заполнения стека нулями, а потом, резкий прыжок, а в этом прыжке прочая ерунда. Попытался всевить эти адреса в ImpREC, половина валидных, другая же нет, значит напортачил. Не подскажете?
Вот файл: http://rekldelo.esy.es/_Java.zip
И прога требует пароль, препод дал, он в архиве. Как выяснилось, прога фигачит этот PDF в GIF в temp папку.
Буду очень Вам признателен за замечания и подсказки

Ранг: 105.6 (ветеран)
Статус: Участник

Создано: 26 сентября 2015 00:43 New!
Цитата · Личное сообщение · #2

Фигли там ковыряться. Сдампил память, нашел по сигнатуре pdf.

| Сообщение посчитали полезным: Alex___Raven



Ранг: 206.8 (наставник)
Статус: Участник
radical

Создано: 26 сентября 2015 01:10 New!
Цитата · Личное сообщение · #3

Самый обычный upx, шифрованная пдфка походу в оверлее.
Вот в общем твой файл, закрывай тему.

https://www.sendspace.com/file/3poh4l

| Сообщение посчитали полезным: Alex___Raven


Ранг: 226.5 (наставник)
Статус: Участник

Создано: 26 сентября 2015 02:18 · Поправил: 26 сентября 2015 02:33 TryAga1n New!
Цитата · Личное сообщение · #4

И кстати говоря, файло распаковывается самим UPX'ом, достаточно пофиксить контрольную сумму.
http://rghost.ru/7RT5kPW5Y

| Сообщение посчитали полезным: Alex___Raven


Ранг: 1.5 (гость)
Статус: Участник

Создано: 26 сентября 2015 11:57 New!
Цитата · Личное сообщение · #5

Блин, парни, объясните, как? Мне важнее самому сделать, нежели чем просто достать)

Добавлено спустя 2 минуты
Начнем с того, как вы нашли OEP? Если в ручную распаковывать. И о том, как именно пофиксить контрольную сумму?

Добавлено спустя 2 минуты
Буду очень признателен за объяснение) Помогите пожалуйста)

Ранг: 226.5 (наставник)
Статус: Участник

Создано: 26 сентября 2015 14:19 New!
Цитата · Личное сообщение · #6

Как уже говорилось выше, UPX там самый обыкновенный. Нахождение ОЕР не представляет ни каких особенностей. На нашем сайте есть множество статей по распаковке этого упаковщика. Если будешь распаковывать при помощи дампинга и прикручивания импорта, то восстанавливать контрольные суммы не требуется.
Если же хочешь распаковать как я, чтобы получить оригинальный файл, тогда нужно воспользоваться плагином Recover UPX для PETools. Через сам UPX можно подглядеть нужные контрольные суммы C_adler и U_adler. Но исходя из постов выше, думаю этот способ тебе применять пока что рано.

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 26 сентября 2015 14:35 · Поправил: 26 сентября 2015 15:22 dosprog New!
Цитата · Личное сообщение · #7

Alex___Raven пишет:
Блин, парни, объясните, как?


Настоящий хирург должен быть не только не брезгливым, но ещё и внимательным.(с)

Alex___Raven пишет:
прога фигачит этот PDF в GIF в temp папку.


Она его туда фигачит не только в GIF.


--Добавлено--

--> Java Manual v.3.0.0.128 <--

--> Java Manual v.3.0.0.128 (unpackable)<--


Ранг: 1.5 (гость)
Статус: Участник

Создано: 26 сентября 2015 17:09 New!
Цитата · Личное сообщение · #8

dosprog пишет:
Она его туда фигачит не только в GIF.

Да, я это тоже заметил, и уже все стащил оттуда! Просто интересно, где я косякнул

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 26 сентября 2015 18:31 · Поправил: 26 сентября 2015 18:47 dosprog New!
Цитата · Личное сообщение · #9

А при чём тут косяки?
Программа при завершении удаляет расшифрованный во временный каталог PDF.
А stub-вьювер производители программы специально после упаковки UPX'ом поковыряли в заголовке, чтобы он не опознавался самим UPX'ом как валидный. В последней Trial версии 5 на офсайте - stub вообще не упакованный.

Препод, видимо, неплохой. Умеет заинтересовать питомцев.


Ранг: 1.5 (гость)
Статус: Участник

Создано: 26 сентября 2015 19:59 New!
Цитата · Личное сообщение · #10

Нее, он тупо параноик. Сказал: "Удали, не давай никому!"

Добавлено спустя 2 минуты
Косяки в плане распаковки. Почему после POPAD появляется цикл, который забивает в стек нули? И в итоге - никакой OEP не было найдено

Ранг: 226.5 (наставник)
Статус: Участник

Создано: 26 сентября 2015 22:10 New!
Цитата · Личное сообщение · #11

Потому что ты не владеешь информацией о стабе распаковщика UPX'a


Ранг: 206.8 (наставник)
Статус: Участник
radical

Создано: 26 сентября 2015 23:03 New!
Цитата · Личное сообщение · #12

Какой упых, чо вы гланды через жопу рвёте то в несколько рыл ?

JohnyDoe всё верно сказал.
Открыли память в винхекск, нашли по сигне, сохранили пдфку, всё, делов на 1 минуту.

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 26 сентября 2015 23:10 · Поправил: 27 сентября 2015 02:10 dosprog New!
Цитата · Личное сообщение · #13

DimitarSerg пишет:
Какой упых, чо вы гланды через жопу рвёте то в несколько рыл ?


Какой винхекс, ...
Раскриптованный PDF лежит в каталоге %TEMP% при работе вьювера, потом удаляется.
Просто скопировать его оттуда и всех делов.

Кстати, этот экзешник лепился с помощью поковырянной версии проги (2.0.0.99) -
тут в --> запросах <-- пяток лет назад она мелькнула.

В оригинальном стабе присутствует наглый месиджбокс при запуске.

--> Вот <-- этот же PDF с наглым окошком и фирменным стабом 2.0.0.99
И он нормально распаковывается, только после этого сам вьювер уже отказывается работать.

Рассматриваемый же файл не распаковывается UPX'ом.
)) То видать tihiy_grom стаб усовершенствовал против распаковки. Заодно.
Вернее, просто так получилось.


Ранг: 434.4 (мудрец)
Статус: Участник

Создано: 27 сентября 2015 01:49 New!
Цитата · Личное сообщение · #14

dosprog пишет:
)) То видать tihiy_grom стаб усовершенствовал против распаковки. Заодно.


Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 27 сентября 2015 01:58 · Поправил: 27 сентября 2015 02:07 dosprog New!
Цитата · Личное сообщение · #15

) Да я уже увидел.
Там поредактирован этот стаб без распаковки, чтобы потом не срабатывала в нём же проверка размера файла. Отсюда и ошибка при распаковке UPX'ом.

Увидал --> старый пост <--, предположил, что с помощью той исправленной версии и делался рассматриваемый файл. Там ссылки давно мёртвые, это только предположение.

-- Добавлено --
Сам когда-то ковырял для себя эту программу, другую версию - не стал заморачиваться и убрал из этого вьювера вообще самопроверку целостности - полученную книгу можно паковать/распаковывать как угодно и чем угодно. Так удобнее.


Ранг: 226.5 (наставник)
Статус: Участник

Создано: 27 сентября 2015 12:10 New!
Цитата · Личное сообщение · #16

dosprog, проверка чексум не проходит потому, что к изначально пакованному стабу, прикручивается оверлей с ПДФ'ом. Как я уже писал выше, сам стаб депакера UPX'a оригинальный и никто его не изменял.

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 27 сентября 2015 12:15 · Поправил: 27 сентября 2015 13:35 dosprog New!
Цитата · Личное сообщение · #17

TryAga1n пишет:
Как я уже писал выше, сам стаб депакера UPX'a оригинальный и никто его не изменял.



TryAga1n,
оверлей ни при чём. Всё дело именно в том, что поредактирован вручную стаб (без распаковки) для убирания нага.
Причём сделано это было в самой утилите PDF2EXE, с помощью которой лепили рассматриваемую книгу.

Вот повторно даю ссылку на книгу, сделанную (вчера мною) с помощью оригинальной триальной
утилиты той же версии.

Ссылка: --> Эта книга распаковывается нормально самим же UPX'ом <--
- Но в распакованном виде работать она не станет из-за самопроверки.

А книга, сделанная крякнутой утилитой, - в архиве топик-стартера. По ней как раз и возникли вопросы.
Сравните их двоично.


-- Добавлено --

Вот то, о чём я говорю: --> Cool PDF2EXE v 2.0.0.99 <-- - оригинальная утилита и триальный патч к ней.

 eXeL@B —› Протекторы —› Странный UPX
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS