KindEcstasy
29.11.2006, 22:45
[ Распаковка UPX для новичков ]
Здравствуйте, мои дорогие а-чатовцы. С вами снова я, после долгого отсутствия, вернулся на любимый форум. Я надеюсь, вы ещё меня не зыбыли =), и не сбросили меня со счетов. Просто по некоторым техничиским причинам, я не мог выйти в сеть.
Инструменты
------------
• PE Tools 1.5 :[ 1.5 - это версия которой пользуюсь я, так как она меня не подводила ]
• ImpREC 1.6 :[ 1.6 - это версия которой пользуюсь я, так как она меня не подводила ]
• OllyDebuger 1.10 :[ Желательно иметь плагины: CommandBar v3.0 & OllyDump 2.21 ]
• Target aka жертва :[ будем ковырять сапёра для XP, сжатого UPX с ключом: --best ]
Настройки
---------
Итак, для того чтобы что-нить распаковать, прежде всего необходимо настроить свой PE Tools и ImpREC, так и делаем. Сверте настройки с моими (помеченные галочками настройки будут обозначаться как: - [•]):
[PE Tools]
+--------------------------------------------+
|
| [•] Restore Last Directory on startup
| [•] Restore Last Main Window Position
| [•] Create Backup Copy
| [•] Section Table: Autofix SizeOfImage
| [•] Optional Header: Autofix CheckSum
| [•] Optional Header: Autofix SizeOfHeaders
| [•] Full Dump: Paste Header From Disk
| [•] Full Dump: Fix Header
| [•] Delete Temp Files
| [•] Wipe Relocation
| [•] Validate PE
| [•] Rebuild PE
| [•] Bind Imports
|
+-------------------------+------------------+
|P.S - Остальное вырубайте|
+-------------------------+
[ ImpREC ]
+--------------------------------------------+
|
| [•] Fix EP To OEP
| [•] Enable Debug Privelege (NT/2K/XP)
| [•] Use PE Header From Disk
|
+---------------------------------+----------+
|P.S - Остальное оставить как было|
+---------------------------------+
Распаковка
----------
Итак, с настройками определились, и самое время начать распаковывать прогу, в данном случае уже заранее запакованного вами Сапёра. Что? Вы ещё это не сделали? Ладно, делаем вместе:
upx.exe --best winmine.exe
Фух, сделали? Ну тогда продолжим:
Суём в Olly наш запакованный бинарник, на табличке с предупреждениями жмём OK! Перед нами должен быть примерно такой код:
01021C20 > $ 60 PUSHAD : <- Эта строка называется EntryPoint
01021C21 . BE 00100101 MOV ESI,winmine.01011000
01021C26 . 8DBE 0000FFFF LEA EDI,DWORD PTR DS:[ESI+FFFF0000]
01021C2C . 57 PUSH EDI
01021C2D . 83CD FF OR EBP,FFFFFFFF
01021C30 . EB 10 JMP SHORT winmine.01021C42
Что же мы видим? Типичное начало для UPX'ов! Теперь, жмём Ctrl+F и вводим "popad". Жмём Enter! Вывалиаемся тут:
01021D6E > 61 POPAD
01021D6F .-E9 AD20FEFF JMP winmine.01003E21 : <- Эта строка перехода на OriginalEntryPoint
01021D74 00 DB 00 : Она то нам и нужна...
01021D75 00 DB 00
Итак, мы стоим на 01021D6E! Жмём F2, чтобы поставить бряк на это место, потом жмём F9, чтобы запустить прогу. Она остановиться на 01021D6E. Жмём 2 раза F8, и попадаем на такое:
01003E21 6A 70 PUSH 70
01003E23 68 90130001 PUSH winmine.01001390
01003E28 E8 DF010000 CALL winmine.0100400C
01003E2D 33DB XOR EBX,EBX
01003E2F 53 PUSH EBX
01003E30 8B3D 8C100001 MOV EDI,DWORD PTR DS:[100108C] : kernel32.GetModuleHandleA
01003E36 FFD7 CALL EDI
01003E38 66:8138 4D5A CMP WORD PTR DS:[EAX],5A4D
01003E3D 75 1F JNZ SHORT winmine.01003E5E
Вот это и есть точка входа в распакованную программу. Стандартное начало программ написанных на VC++. В это время отладчик находиться в состоянии "Paused", стоит прямо на OEP, да и кстати прога уже распаковалась в памяти! Самое время сделать дамп!
Не закрывая отладчика, запускаем PE Tools, находим процесс нашей проги (НЕ ОТЛАДЧИКА!!!), на ней ПКМ->Dump full...
Сохраняем дамп проги в удобное место, и закрываем PE Tools.
Заметьте, что отладчик у нас остаётся загружен, то есть мы его не закрываем!!!
Запускаем ImpREC, выбираем процесс нашего Сапёра и ... А теперь внимательней:
В ImpREC'e есть такая фишка, IAT Autosearch! Найдите три поля: OEP, RVA и Size, а рядом кнопочка будет "IAT Autosearch". Нам нужно в поле OEP вписать OEP, но без ImageBase. То есть:
OEP у нас равен: 01003E21
ImageBase равен: 01000000
Делаем:
OEP-ImageBase=[значение которое нужно вписать в поле OEP], то есть мы из OEP вычитаем ImageBase и получаем 3E21. Вот это число вы должны вписать в поле для OEP. Вписали? Жмём "IAT Autosearch", нам должны сказать что:
Found Adresses wich may be in the original IAT
Теперь жмите GetImports, теперь Fix Dump и выбираем наж дамп, который мы получили при помощи PE Tools. При этом в окне лога ImpREC'a должно появится следующее:
C:\Documents and Settings\Администратор\Рабочий стол\Unpacking\Dumped_.exe saved successfully.
Вот и всё теперь файл Dumped_.exe можно отлаживать как нормальную прогу. Поздравляю! Вы распаковали UPX!
В следующей статье вы будете распаковывать ASPack!
До скорых встречь!
[c] KindEcstasy
Здравствуйте, мои дорогие а-чатовцы. С вами снова я, после долгого отсутствия, вернулся на любимый форум. Я надеюсь, вы ещё меня не зыбыли =), и не сбросили меня со счетов. Просто по некоторым техничиским причинам, я не мог выйти в сеть.
Инструменты
------------
• PE Tools 1.5 :[ 1.5 - это версия которой пользуюсь я, так как она меня не подводила ]
• ImpREC 1.6 :[ 1.6 - это версия которой пользуюсь я, так как она меня не подводила ]
• OllyDebuger 1.10 :[ Желательно иметь плагины: CommandBar v3.0 & OllyDump 2.21 ]
• Target aka жертва :[ будем ковырять сапёра для XP, сжатого UPX с ключом: --best ]
Настройки
---------
Итак, для того чтобы что-нить распаковать, прежде всего необходимо настроить свой PE Tools и ImpREC, так и делаем. Сверте настройки с моими (помеченные галочками настройки будут обозначаться как: - [•]):
[PE Tools]
+--------------------------------------------+
|
| [•] Restore Last Directory on startup
| [•] Restore Last Main Window Position
| [•] Create Backup Copy
| [•] Section Table: Autofix SizeOfImage
| [•] Optional Header: Autofix CheckSum
| [•] Optional Header: Autofix SizeOfHeaders
| [•] Full Dump: Paste Header From Disk
| [•] Full Dump: Fix Header
| [•] Delete Temp Files
| [•] Wipe Relocation
| [•] Validate PE
| [•] Rebuild PE
| [•] Bind Imports
|
+-------------------------+------------------+
|P.S - Остальное вырубайте|
+-------------------------+
[ ImpREC ]
+--------------------------------------------+
|
| [•] Fix EP To OEP
| [•] Enable Debug Privelege (NT/2K/XP)
| [•] Use PE Header From Disk
|
+---------------------------------+----------+
|P.S - Остальное оставить как было|
+---------------------------------+
Распаковка
----------
Итак, с настройками определились, и самое время начать распаковывать прогу, в данном случае уже заранее запакованного вами Сапёра. Что? Вы ещё это не сделали? Ладно, делаем вместе:
upx.exe --best winmine.exe
Фух, сделали? Ну тогда продолжим:
Суём в Olly наш запакованный бинарник, на табличке с предупреждениями жмём OK! Перед нами должен быть примерно такой код:
01021C20 > $ 60 PUSHAD : <- Эта строка называется EntryPoint
01021C21 . BE 00100101 MOV ESI,winmine.01011000
01021C26 . 8DBE 0000FFFF LEA EDI,DWORD PTR DS:[ESI+FFFF0000]
01021C2C . 57 PUSH EDI
01021C2D . 83CD FF OR EBP,FFFFFFFF
01021C30 . EB 10 JMP SHORT winmine.01021C42
Что же мы видим? Типичное начало для UPX'ов! Теперь, жмём Ctrl+F и вводим "popad". Жмём Enter! Вывалиаемся тут:
01021D6E > 61 POPAD
01021D6F .-E9 AD20FEFF JMP winmine.01003E21 : <- Эта строка перехода на OriginalEntryPoint
01021D74 00 DB 00 : Она то нам и нужна...
01021D75 00 DB 00
Итак, мы стоим на 01021D6E! Жмём F2, чтобы поставить бряк на это место, потом жмём F9, чтобы запустить прогу. Она остановиться на 01021D6E. Жмём 2 раза F8, и попадаем на такое:
01003E21 6A 70 PUSH 70
01003E23 68 90130001 PUSH winmine.01001390
01003E28 E8 DF010000 CALL winmine.0100400C
01003E2D 33DB XOR EBX,EBX
01003E2F 53 PUSH EBX
01003E30 8B3D 8C100001 MOV EDI,DWORD PTR DS:[100108C] : kernel32.GetModuleHandleA
01003E36 FFD7 CALL EDI
01003E38 66:8138 4D5A CMP WORD PTR DS:[EAX],5A4D
01003E3D 75 1F JNZ SHORT winmine.01003E5E
Вот это и есть точка входа в распакованную программу. Стандартное начало программ написанных на VC++. В это время отладчик находиться в состоянии "Paused", стоит прямо на OEP, да и кстати прога уже распаковалась в памяти! Самое время сделать дамп!
Не закрывая отладчика, запускаем PE Tools, находим процесс нашей проги (НЕ ОТЛАДЧИКА!!!), на ней ПКМ->Dump full...
Сохраняем дамп проги в удобное место, и закрываем PE Tools.
Заметьте, что отладчик у нас остаётся загружен, то есть мы его не закрываем!!!
Запускаем ImpREC, выбираем процесс нашего Сапёра и ... А теперь внимательней:
В ImpREC'e есть такая фишка, IAT Autosearch! Найдите три поля: OEP, RVA и Size, а рядом кнопочка будет "IAT Autosearch". Нам нужно в поле OEP вписать OEP, но без ImageBase. То есть:
OEP у нас равен: 01003E21
ImageBase равен: 01000000
Делаем:
OEP-ImageBase=[значение которое нужно вписать в поле OEP], то есть мы из OEP вычитаем ImageBase и получаем 3E21. Вот это число вы должны вписать в поле для OEP. Вписали? Жмём "IAT Autosearch", нам должны сказать что:
Found Adresses wich may be in the original IAT
Теперь жмите GetImports, теперь Fix Dump и выбираем наж дамп, который мы получили при помощи PE Tools. При этом в окне лога ImpREC'a должно появится следующее:
C:\Documents and Settings\Администратор\Рабочий стол\Unpacking\Dumped_.exe saved successfully.
Вот и всё теперь файл Dumped_.exe можно отлаживать как нормальную прогу. Поздравляю! Вы распаковали UPX!
В следующей статье вы будете распаковывать ASPack!
До скорых встречь!
[c] KindEcstasy