eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: maddmaks (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Проблема распаковки ASPack (2.24?)
Посл.ответ Сообщение

Ранг: 0.8 (гость)
Статус: Участник

Создано: 1 апреля 2018 23:14 New!
Цитата · Личное сообщение · #1

Здравствуйте.
Взялся я за очередной крякми (прилагается), который судя по результатам exeinfo и по списку секций был накрыт ASPack. Казалось бы, распаковывается просто и безболезненно, но как-то не вышло.
Стандартная процедура:
1. Открываю в x86dbg
2. Нахожу OEP
3. Делаю дамп сциллой
4. Восстатавливаю таблицу импорта сциллой
Но не работает. Вроде как проблема с базовым адресом, но я не смог разобраться откуда она растет.
Думал что делаю что-то не так, проверил на других exe накрытых ASPack - распаковываются без проблем.
Что это? Какая-то дополнительная защита? Баг сциллы? Кривые руки?

{ Атач доступен только для участников форума } - registration.exe


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 1 апреля 2018 23:49 · Поправил: mysterio New!
Цитата · Личное сообщение · #2

для сверки OEP: 004016BB

>> Почему так происходит? ASLR?
13E: 40 -> 00

>> Можно поподробнее?
Запускаем хекс-редактор, открываем то что распаковали, идем по указанному выше смещению патчим - profit.

... не IMAGE_OPTIONAL_HEADER.Win32VersionValue
нет, не оно.

А мне кажется, что оно. В любом случае, я бы хотел понять почему так происходит. header.PNG
Переубеждать не будем. Действительно, не зачем обнулять флаг "can be relocated at load time" - главное, что кажется, а "кажется" - это неоспоримый аргумент!, что это Win32VersionValue.
... казалось, что уже ничто не может спасти отважных моряков ! Оказалось - не казалось! ....

e_lfanew (F0) + Signature (4) + IMAGE_FILE_HEADER (14) + DllCharacteristics offset (47) = 14E
У нас разные файлы - из-за оптимизации в моем случае e_lfanew = E0. В не оптимизированном e_lfanew = F0.

| Сообщение посчитали полезным: Uval


Ранг: 0.8 (гость)
Статус: Участник

Создано: 1 апреля 2018 23:57 · Поправил: Uval New!
Цитата · Личное сообщение · #3

mysterio пишет:
для сверки OEP: 004016BB

RVA тот же - 16BB, но в отладчике у меня другой адрес, 012E16BB. Хотя CFF explorer показывает именно 004016BB, если преобразовать RVA в VA. Почему так происходит? ASLR?

Добавлено спустя 7 минут
mysterio пишет:
>> Почему так происходит? ASLR?
13F: 40 -> 00

Можно поподробнее?

Добавлено спустя 57 минут
mysterio пишет:
>> Можно поподробнее?
Запускаем хекс-редактор, открываем то что распаковали, идем по указанному выше смещению патчим - profit.

Разве это не IMAGE_OPTIONAL_HEADER.Win32VersionValue?

Добавлено спустя 1 час 14 минут
А мне кажется, что оно.
В любом случае, я бы хотел понять почему так происходит.

{ Атач доступен только для участников форума } - header.PNG

Добавлено спустя 2 часа 19 минут
mysterio пишет:
А мне кажется, что оно. В любом случае, я бы хотел понять почему так происходит. header.PNG
Переубеждать не будем. Действительно, не зачем обнулять флаг "can be relocated at load time" - главное, что кажется, а "кажется" - это неоспоримый аргумент!, что это Win32VersionValue.
... казалось, что уже ничто не может спасти отважных моряков ! Оказалось - не казалось! ....

e_lfanew (F0) + Signature (4) + IMAGE_FILE_HEADER (14) + DllCharacteristics offset (47) = 14E
Что никак не 13F и не 13E.
Однако, спасибо, исправил. Можно было просто указать на флаг. Получается, ASLR.
Но почему так вышло? Сцилла где-то ступила, или у нее всегда один набор флагов на все случаи жизни? И почему оно работало до этого (до распаковки)?

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 2 апреля 2018 10:36 · Поправил: cppasm New!
Цитата · Личное сообщение · #4

Потому что до распаковки были релоки, потому и работало.
Сдампил ты модуль загруженный по определённому адресу с уже обработанными релоками, и соответственно работать он будет только при загрузке по тому же адресу.
Баг не в инструментах, а в отсутствии понимания как оно работает.

Ранг: 0.8 (гость)
Статус: Участник

Создано: 2 апреля 2018 13:28 · Поправил: Uval New!
Цитата · Личное сообщение · #5

Да, я это уже понял.
Однако, я решил что ASPack сам обрабатывает релоки запакованного PE при распаковке, а .reloc запакованного файла содержит таблицу релоков для незапакованной части кода (те самого распаковщика). Я прав?

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 2 апреля 2018 14:20 New!
Цитата · Личное сообщение · #6

Да.

| Сообщение посчитали полезным: Uval



Ранг: 265.0 (наставник)
Статус: Участник

Создано: 3 апреля 2018 21:08 New!
Цитата · Личное сообщение · #7

Uval

Ваша ошибка на п.2. Что вы понимаете под OEP" ?

Есть криптор - который слит воедино с приложением, в динамике не отличим от запуска апп. В простых случаях анпак очевиден - формируется образ в памяти, но это лишь редкие и самые примитивные варианты. Вы смотрите видеоуроки", авторы которых сами не понимают суть, они лишь вводят в заблуждение. Потом и появляются такие вопросы.


Ранг: 69.2 (постоянный)
Статус: Участник

Создано: 3 апреля 2018 22:39 New!
Цитата · Личное сообщение · #8

проблемы в том что люди совсем не связанные с программированием насмотрятся и начитаются туторов где крутые ньюкрекеры ломают мега защиты упакованные всякими упх йодами солодовниками и обламываются потому что не знают как оно работает для этого есть автораспаковщики + когда дойдете до земиды нигмы пепы и дерматолога то интерес к крекми отпадет) путь осилит идущий...

Ранг: 0.8 (гость)
Статус: Участник

Создано: 4 апреля 2018 13:48 New!
Цитата · Личное сообщение · #9

difexacaw пишет:
Что вы понимаете под OEP"

Точку входа в само приложение, какой бы она была не будь там упаковщика (точку, в которую переходить упаковщик после распаковки).
difexacaw пишет:
Есть криптор - который слит воедино с приложением, в динамике не отличим от запуска апп.

По моему, это все же упаковщик, так как никакой защиты он не добавляет.
difexacaw пишет:
Вы смотрите видеоуроки", авторы которых сами не понимают суть, они лишь вводят в заблуждение.

Каюсь, смотрю. Раскурить алгоритм ASPack - благое дело, и я им займусь позже, но сейчас мне нужно было просто получить распакованный образ.


Ранг: 122.7 (ветеран)
Статус: Участник
Qt Developer

Создано: 4 апреля 2018 14:47 New!
Цитата · Личное сообщение · #10

Uval пишет:
но сейчас мне нужно было просто получить распакованный образ.


--> Link <--

| Сообщение посчитали полезным: parfetka, MarcElBichon

 eXeL@B —› Вопросы новичков —› Проблема распаковки ASPack (2.24?)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS