|
Цитата:
По традиции, сначала попытаем удачу: https://forum.antichat.xyz/attachmen...0469085105.png А теперь немного теории: Упаковщик UPXработает следующим образом: в исполняемом файле создаются три секции: UPX0, UPX1и UPX2. Первая, обычно, заполняется нулями - туда пакер будет распаковывать исходный код программы. Entrypointуказывает на UPX1, ибо там находится код, занимающийся распаковкой. https://forum.antichat.xyz/attachmen...0459281312.png https://forum.antichat.xyz/attachmen...0459287083.png Поэтому наша задача состоит в том, чтобы отыскать OEP(Original Entry Point - энтрипоинт в распакованный код), и сдампить это дело в отдельный бинарь. Для этого воспользуемся x96dbg(дебаггер) и модулем Scylla(для дампа) Обычно UPXоставляет где-то в коде инструкцию popad, а затем после неё идёт прыжок в секцию UPX0- этот адрес прыжка и будет нашим OEP. Для того, чтобы отыскать этот адрес, x96dbgлюбезно автоматически ставит брейкпоинты на pushad- можно посмотреть, после какого из таких брейкпоинтов в UPX0вместо нулей объявляется код, и перед этим брейкпоинтом поискать popad. В x96dbgесть удобная функция поиска с текущего места - этим мы и воспользуемся (поиск выполнялся после первого автоматического брейкпоинта). https://forum.antichat.xyz/attachmen...0464397919.png А поиск выдаёт один-единственный вариант: https://forum.antichat.xyz/attachmen...0464454455.png И если мы перейдём по этому адресу, то и наткнёмся на следующий после popad jmp с искомым OEP: https://forum.antichat.xyz/attachmen...0464601587.png После же, когда мы выполним jmpпо этому адресу и окажемся уже в исходной программе, нам необходимо её сдампить с помощью модуля Scylla. https://forum.antichat.xyz/attachmen...0464752195.png Удостоверьтесь, что OEPв одноимённом поле такой же, как у jmp. Если всё правильно, то нам нужно найти таблицу импортов и сами импорты - это кнопки IAT Autosearchи Get Importsсоответственно. https://forum.antichat.xyz/attachmen...0464922994.png После того, как всё найдено - можно делать дамп. Но при этом получившийся бинарь у вас так просто запустить не получится - нужно будет пофиксить оффсеты в получившейся таблице импортов. Но для этого есть кнопка "Fix Dump". https://forum.antichat.xyz/attachmen...0465067685.png И теперь, после всех этих манипуляций на выходе мы имеем исходный бинарь, который можно ковырять, как вам угодно. А нам угодно открыть его в IDAдля статического анализа (переменные я переименовал для наглядности): https://forum.antichat.xyz/attachmen...0465342021.png Здесь же до банального просто - ввод логина, серийника, и последний сравнивается с каким-то, который мелькает в strange_func. Возможно, раз в неё передаётся логин, то он там и генерируется? Заглянем внутрь! https://forum.antichat.xyz/attachmen...0465517817.png А внутри нас ждёт тривиальная функция генерации серийника: каждый символ логина ксорится с 0x42. Для этого можно написать кейген за 3 минуты! Единственное - нам бы ограничиться в логине символами [a-zA-z0-9] для того, чтобы в получившемся серийнике не было стрёмных ASCII-символов. Python: Код:
loginhttps://forum.antichat.xyz/attachmen...0465867726.png Получилось! Наша задача - распаковка + кейген - выполнена! Надеюсь, этот небольшой райтап помог вам в нашей нелёгкой стезе. Удачного ревёрса! made 4@rev_with_da_boys |
| Время: 06:50 |