|
Распаковка Upx'ов для новичков
[ Распаковка UPX для новичков ] Здравствуйте, мои дорогие а-чатовцы. С вами снова я, после долгого отсутствия, вернулся на любимый форум. Я надеюсь, вы ещё меня не зыбыли =), и не сбросили меня со счетов. Просто по некоторым техничиским причинам, я не мог выйти в сеть. Инструменты ------------ • PE Tools 1.5 :[ 1.5 - это версия которой пользуюсь я, так как она меня не подводила ] • ImpREC 1.6 :[ 1.6 - это версия которой пользуюсь я, так как она меня не подводила ] • OllyDebuger 1.10 :[ Желательно иметь плагины: CommandBar v3.0 & OllyDump 2.21 ] • Target aka жертва :[ будем ковырять сапёра для XP, сжатого UPX с ключом: --best ] Настройки --------- Итак, для того чтобы что-нить распаковать, прежде всего необходимо настроить свой PE Tools и ImpREC, так и делаем. Сверте настройки с моими (помеченные галочками настройки будут обозначаться как: - [•]): [PE Tools] +--------------------------------------------+ | | [•] Restore Last Directory on startup | [•] Restore Last Main Window Position | [•] Create Backup Copy | [•] Section Table: Autofix SizeOfImage | [•] Optional Header: Autofix CheckSum | [•] Optional Header: Autofix SizeOfHeaders | [•] Full Dump: Paste Header From Disk | [•] Full Dump: Fix Header | [•] Delete Temp Files | [•] Wipe Relocation | [•] Validate PE | [•] Rebuild PE | [•] Bind Imports | +-------------------------+------------------+ |P.S - Остальное вырубайте| +-------------------------+ [ ImpREC ] +--------------------------------------------+ | | [•] Fix EP To OEP | [•] Enable Debug Privelege (NT/2K/XP) | [•] Use PE Header From Disk | +---------------------------------+----------+ |P.S - Остальное оставить как было| +---------------------------------+ Распаковка ---------- Итак, с настройками определились, и самое время начать распаковывать прогу, в данном случае уже заранее запакованного вами Сапёра. Что? Вы ещё это не сделали? Ладно, делаем вместе: upx.exe --best winmine.exe Фух, сделали? Ну тогда продолжим: Суём в Olly наш запакованный бинарник, на табличке с предупреждениями жмём OK! Перед нами должен быть примерно такой код: Код:
01021C20 > $ 60 PUSHAD : <- Эта строка называется EntryPointКод:
01021D6E > 61 POPADИтак, мы стоим на 01021D6E! Жмём F2, чтобы поставить бряк на это место, потом жмём F9, чтобы запустить прогу. Она остановиться на 01021D6E. Жмём 2 раза F8, и попадаем на такое: Код:
01003E21 6A 70 PUSH 70Вот это и есть точка входа в распакованную программу. Стандартное начало программ написанных на VC++. В это время отладчик находиться в состоянии "Paused", стоит прямо на OEP, да и кстати прога уже распаковалась в памяти! Самое время сделать дамп! Не закрывая отладчика, запускаем PE Tools, находим процесс нашей проги (НЕ ОТЛАДЧИКА!!!), на ней ПКМ->Dump full... Сохраняем дамп проги в удобное место, и закрываем PE Tools. Заметьте, что отладчик у нас остаётся загружен, то есть мы его не закрываем!!! Запускаем ImpREC, выбираем процесс нашего Сапёра и ... А теперь внимательней: В ImpREC'e есть такая фишка, IAT Autosearch! Найдите три поля: OEP, RVA и Size, а рядом кнопочка будет "IAT Autosearch". Нам нужно в поле OEP вписать OEP, но без ImageBase. То есть: OEP у нас равен: 01003E21 ImageBase равен: 01000000 Делаем: OEP-ImageBase=[значение которое нужно вписать в поле OEP], то есть мы из OEP вычитаем ImageBase и получаем 3E21. Вот это число вы должны вписать в поле для OEP. Вписали? Жмём "IAT Autosearch", нам должны сказать что: Found Adresses wich may be in the original IAT Теперь жмите GetImports, теперь Fix Dump и выбираем наж дамп, который мы получили при помощи PE Tools. При этом в окне лога ImpREC'a должно появится следующее: C:\Documents and Settings\Администратор\Рабочий стол\Unpacking\Dumped_.exe saved successfully. Вот и всё теперь файл Dumped_.exe можно отлаживать как нормальную прогу. Поздравляю! Вы распаковали UPX! В следующей статье вы будете распаковывать ASPack! До скорых встречь! [c] KindEcstasy |
| Время: 07:04 |