Сейчас на форуме: (+7 невидимых)

 eXeL@B —› Протекторы —› Странный UPX
Посл.ответ Сообщение

Ранг: 1.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 26 сентября 2015 00:02
· Личное сообщение · #1

Приветствую!
Товарищи, нужна помощь! Препод дал нам свою методу не в pdf, а в exe. Оказался параноиком)
Суть в том, что это сделано в программе PDF2EXE, как я понял. Сначала, пробил через PEiD, и увидел: UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo [Overlay]
Стал распаковывать, и увидел стандартную PUSHAD, и дошел до POPAD, а тут начался непонятный "ХОРОВОД", сразу после POPAD идет цикл заполнения стека нулями, а потом, резкий прыжок, а в этом прыжке прочая ерунда. Попытался всевить эти адреса в ImpREC, половина валидных, другая же нет, значит напортачил. Не подскажете?
Вот файл: http://rekldelo.esy.es/_Java.zip
И прога требует пароль, препод дал, он в архиве. Как выяснилось, прога фигачит этот PDF в GIF в temp папку.
Буду очень Вам признателен за замечания и подсказки



Ранг: 105.6 (ветеран), 69thx
Активность: 0.060
Статус: Участник

Создано: 26 сентября 2015 00:43
· Личное сообщение · #2

Фигли там ковыряться. Сдампил память, нашел по сигнатуре pdf.

| Сообщение посчитали полезным: Alex___Raven


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 26 сентября 2015 01:10
· Личное сообщение · #3

Самый обычный upx, шифрованная пдфка походу в оверлее.
Вот в общем твой файл, закрывай тему.

https://www.sendspace.com/file/3poh4l

-----
ds


| Сообщение посчитали полезным: Alex___Raven

Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 26 сентября 2015 02:18 · Поправил: TryAga1n
· Личное сообщение · #4

И кстати говоря, файло распаковывается самим UPX'ом, достаточно пофиксить контрольную сумму.
http://rghost.ru/7RT5kPW5Y

| Сообщение посчитали полезным: Alex___Raven

Ранг: 1.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 26 сентября 2015 11:57
· Личное сообщение · #5

Блин, парни, объясните, как? Мне важнее самому сделать, нежели чем просто достать)

Добавлено спустя 2 минуты
Начнем с того, как вы нашли OEP? Если в ручную распаковывать. И о том, как именно пофиксить контрольную сумму?

Добавлено спустя 2 минуты
Буду очень признателен за объяснение) Помогите пожалуйста)



Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 26 сентября 2015 14:19
· Личное сообщение · #6

Как уже говорилось выше, UPX там самый обыкновенный. Нахождение ОЕР не представляет ни каких особенностей. На нашем сайте есть множество статей по распаковке этого упаковщика. Если будешь распаковывать при помощи дампинга и прикручивания импорта, то восстанавливать контрольные суммы не требуется.
Если же хочешь распаковать как я, чтобы получить оригинальный файл, тогда нужно воспользоваться плагином Recover UPX для PETools. Через сам UPX можно подглядеть нужные контрольные суммы C_adler и U_adler. Но исходя из постов выше, думаю этот способ тебе применять пока что рано.



Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

Создано: 26 сентября 2015 14:35 · Поправил: dosprog
· Личное сообщение · #7

Alex___Raven пишет:
Блин, парни, объясните, как?


Настоящий хирург должен быть не только не брезгливым, но ещё и внимательным.(с)

Alex___Raven пишет:
прога фигачит этот PDF в GIF в temp папку.


Она его туда фигачит не только в GIF.


--Добавлено--

--> Java Manual v.3.0.0.128 <--

--> Java Manual v.3.0.0.128 (unpackable)<--





Ранг: 1.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 26 сентября 2015 17:09
· Личное сообщение · #8

dosprog пишет:
Она его туда фигачит не только в GIF.

Да, я это тоже заметил, и уже все стащил оттуда! Просто интересно, где я косякнул



Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

Создано: 26 сентября 2015 18:31 · Поправил: dosprog
· Личное сообщение · #9

А при чём тут косяки?
Программа при завершении удаляет расшифрованный во временный каталог PDF.
А stub-вьювер производители программы специально после упаковки UPX'ом поковыряли в заголовке, чтобы он не опознавался самим UPX'ом как валидный. В последней Trial версии 5 на офсайте - stub вообще не упакованный.

Препод, видимо, неплохой. Умеет заинтересовать питомцев.





Ранг: 1.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 26 сентября 2015 19:59
· Личное сообщение · #10

Нее, он тупо параноик. Сказал: "Удали, не давай никому!"

Добавлено спустя 2 минуты
Косяки в плане распаковки. Почему после POPAD появляется цикл, который забивает в стек нули? И в итоге - никакой OEP не было найдено



Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 26 сентября 2015 22:10
· Личное сообщение · #11

Потому что ты не владеешь информацией о стабе распаковщика UPX'a




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 26 сентября 2015 23:03
· Личное сообщение · #12

Какой упых, чо вы гланды через жопу рвёте то в несколько рыл ?

JohnyDoe всё верно сказал.
Открыли память в винхекск, нашли по сигне, сохранили пдфку, всё, делов на 1 минуту.

-----
ds




Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

Создано: 26 сентября 2015 23:10 · Поправил: dosprog
· Личное сообщение · #13

DimitarSerg пишет:
Какой упых, чо вы гланды через жопу рвёте то в несколько рыл ?


Какой винхекс, ...
Раскриптованный PDF лежит в каталоге %TEMP% при работе вьювера, потом удаляется.
Просто скопировать его оттуда и всех делов.

Кстати, этот экзешник лепился с помощью поковырянной версии проги (2.0.0.99) -
тут в --> запросах <-- пяток лет назад она мелькнула.

В оригинальном стабе присутствует наглый месиджбокс при запуске.

--> Вот <-- этот же PDF с наглым окошком и фирменным стабом 2.0.0.99
И он нормально распаковывается, только после этого сам вьювер уже отказывается работать.

Рассматриваемый же файл не распаковывается UPX'ом.
)) То видать tihiy_grom стаб усовершенствовал против распаковки. Заодно.
Вернее, просто так получилось.





Ранг: 441.3 (мудрец), 297thx
Активность: 0.410.04
Статус: Участник

Создано: 27 сентября 2015 01:49
· Личное сообщение · #14

dosprog пишет:
)) То видать tihiy_grom стаб усовершенствовал против распаковки. Заодно.





Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

Создано: 27 сентября 2015 01:58 · Поправил: dosprog
· Личное сообщение · #15

) Да я уже увидел.
Там поредактирован этот стаб без распаковки, чтобы потом не срабатывала в нём же проверка размера файла. Отсюда и ошибка при распаковке UPX'ом.

Увидал --> старый пост <--, предположил, что с помощью той исправленной версии и делался рассматриваемый файл. Там ссылки давно мёртвые, это только предположение.

-- Добавлено --
Сам когда-то ковырял для себя эту программу, другую версию - не стал заморачиваться и убрал из этого вьювера вообще самопроверку целостности - полученную книгу можно паковать/распаковывать как угодно и чем угодно. Так удобнее.





Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 27 сентября 2015 12:10
· Личное сообщение · #16

dosprog, проверка чексум не проходит потому, что к изначально пакованному стабу, прикручивается оверлей с ПДФ'ом. Как я уже писал выше, сам стаб депакера UPX'a оригинальный и никто его не изменял.



Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

Создано: 27 сентября 2015 12:15 · Поправил: dosprog
· Личное сообщение · #17

TryAga1n пишет:
Как я уже писал выше, сам стаб депакера UPX'a оригинальный и никто его не изменял.



TryAga1n,
оверлей ни при чём. Всё дело именно в том, что поредактирован вручную стаб (без распаковки) для убирания нага.
Причём сделано это было в самой утилите PDF2EXE, с помощью которой лепили рассматриваемую книгу.

Вот повторно даю ссылку на книгу, сделанную (вчера мною) с помощью оригинальной триальной
утилиты той же версии.

Ссылка: --> Эта книга распаковывается нормально самим же UPX'ом <--
- Но в распакованном виде работать она не станет из-за самопроверки.

А книга, сделанная крякнутой утилитой, - в архиве топик-стартера. По ней как раз и возникли вопросы.
Сравните их двоично.


-- Добавлено --

Вот то, о чём я говорю: --> Cool PDF2EXE v 2.0.0.99 <-- - оригинальная утилита и триальный патч к ней.




 eXeL@B —› Протекторы —› Странный UPX
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати