| Сейчас на форуме: _MBK_ (+6 невидимых) |
 |
eXeL@B —› Основной форум —› jdpack 2.0 unpacking? |
| Посл.ответ | Сообщение |
|
|
Создано: 24 марта 2007 15:37 · Поправил: WolfHunter · Личное сообщение · #1 а вот эту супер-тормознутую хрень кто-нибудь распаковывал? [url=http://www.tuts4you.com/blogs/download.php?view.1095 ]http://www.tuts4you.com/blogs/download.php?view.1095 [/url] у самого проблем нету, как в динамике, так и в статике. просто интересно. ЗЫ соотв. интересно примерно как распаковывали?  |
|
|
Создано: 24 марта 2007 17:26 · Личное сообщение · #2 WolfHunter пишет: а вот эту супер-тормознутую хрень кто-нибудь распаковывал? Поищи на форуме была тема распаковки и взлома |
|
|
Создано: 24 марта 2007 18:07 · Личное сообщение · #3 ну во первых смотрел, во вторых там смотрели jdpack 1.01. взял тут www.tuts4you.com/blogs/download.php?view.954 файлик им покрытый. по сравнению с 2.0 версией - детский лепет, весь код как на ладони. алго по сути, вроде бы, тот же. по-быстрому его потрейсил: 0046B284 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465] 0046B28A 8BB5 F1314000 MOV ESI,DWORD PTR SS:[EBP+4031F1] ; == 60000 ; esi points to original IMAGE_IMPORT_DESCRIPTOR's 0046B290 03F2 ADD ESI,EDX 0046B292 8B46 0C MOV EAX,DWORD PTR DS:[ESI+C] 0046B295 0BC0 OR EAX,EAX 0046B297 0F84 4D010000 JE UnPackMe.0046B3EA ; либо дампим тут, либо исполняем прыжок (импорты будут не отрезолвлены) 0046B3EA EB 16 JMP SHORT UnPackMe.0046B402 0046B402 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465] 0046B408 8B85 ED314000 MOV EAX,DWORD PTR SS:[EBP+4031ED] ; == 000271AE ; RVA OEP 0046B40E 03C2 ADD EAX,EDX 0046B410 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX 0046B414 61 POPAD 0046B415 50 PUSH EAX 0046B416 C3 RETN ; goto OEP дампим, правим EP и RVA IMAGE_IMPORT_DESCRIPTOR'ов - распаковано. а вот во второй версии (почти) весь код покрыт одним макросом, в центре которого стоит int 3. в итоге получаем по экзепшену на (почти) каждую команду. в итоге - полный пиз#ец по скорости. да и отлаживать нихрена не удобно. в общем, там еще предстоит поепаться с разруливанием кода под макросом. а если, напр. просто запустить под той же олли (и надеяться непонятно на что %) - нуу... у меня просто терпения не хватило... |
|
|
Создано: 24 марта 2007 20:23 · Личное сообщение · #4 WolfHunter Её невозможно роспоковать! |
|
|
Создано: 25 марта 2007 01:56 · Личное сообщение · #5 >Её невозможно роспоковать! жжошь! :P |
|
|
Создано: 25 марта 2007 07:45 · Личное сообщение · #6 WolfHunter пишет: во вторых там смотрели jdpack 1.01. А другой нет ;) |
|
|
Создано: 25 марта 2007 08:56 · Личное сообщение · #7 а файло покрытое 2.0 версией на tuts4you тогда откуда? т.е. на паблике этого пакера нету? |
|
|
Создано: 25 марта 2007 08:59 · Личное сообщение · #8 я кстати, не нашел... ЗЫ правка не работает, ждите 4 секунды пишет |
|
|
Создано: 25 марта 2007 09:14 · Личное сообщение · #9 да, там еще после декриптовки первого(и последнего) слоя можно пронаблюдать такую забавную строчку: JDPack Preview This file PACKED by JDPack2.00 from www.JDPack.com |
|
|
Создано: 25 марта 2007 09:31 · Личное сообщение · #10 Не знаю откуда Тед взял эту фигню! Но кроме int 3 ни чего нового там нет ;) Мож какой нить китаец для прикола доработал Распаковка без проблем вот дамп rapidshare.com/files/22659077/dumped_.rar |
|
|
Создано: 25 марта 2007 09:42 · Личное сообщение · #11 >Мож какой нить китаец для прикола доработал Распаковка без проблем вот дамп а как? (примерно) я вот писал скрипт который код под макросом джампами связывал(в обход инт3)... |
|
|
Создано: 25 марта 2007 09:45 · Личное сообщение · #12 запускать файлик и ставить бряк на GetProcAddress не предлагать, т.к. я как-то и больше получаса прождал(под варей), пока читал чего-то. |
|
|
Создано: 25 марта 2007 10:00 · Личное сообщение · #13 WolfHunter Ну я могу предложить другой вариант, правда придётся подждать... Запускаем файл под олей и ждём минут 10 пока не выскочит тупое сообщение " This file PACKED by JDPack2.00 from www.JDPack.com", потом не нажимая на OK ставим бряк на секцию кода и тогда уже нажимаем на OK. И мы вываливаемся как раз на OEP... У меня пень 2.4 весь процесс распаковки занимает минут 10. Втопку такие пакеры!!! 
А чё там с импортом? Никакого API Redirection я там незаметил 
----- Research For Food |
|
|
Создано: 25 марта 2007 10:56 · Личное сообщение · #14 ну-ну, я так тоже умею... у меня были файлики(неважно откуда), в которых был пропатчен вызов мессадж бокса ;( >А чё там с импортом? Никакого API Redirection я там незаметил если знать когда дампить -- импорт в нетронутом виде) |
|
|
Создано: 25 марта 2007 10:58 · Поправил: Hellspawn · Личное сообщение · #15 WolfHunter пишет: если знать когда дампить -- импорт в нетронутом виде) да он и так в нетронутом: 001) VA: 00060814 Name: .IAT_START Ord:0000
т.е. никакого редиректа нет... этот пакер даже на 98/ME пашет 
----- [nice coder and reverser] |
|
|
Создано: 25 марта 2007 11:04 · Личное сообщение · #16 >Запускаем файл под олей и ждём минут 10 пока не выскочит тупое сообщение вариант номер два, запускаем файло просто так, ждем чутка меньше. на мессаге зовем айс, поскольку там остается < 10 команд покрытых(насколько я помню), в айсе же можно и протрейсить. либо eb fe и аттач оллей, а потом - как удобнее. ну и куча других вариаций на тему мессадж бокса, хотя способ опять-таки не катит против патченного файла... |
|
|
Создано: 25 марта 2007 11:12 · Личное сообщение · #17 Hellspawn имелось ввиду что будет достаточно поправить PE_h->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Virtu alAddress на нужный RVA, без юзанья импрека. есть там код перенаправляющий адреса из IAT или нет - при таком варианте откровенно побоку. |
|
eXeL@B —› Основной форум —› jdpack 2.0 unpacking? |
Для печати