Сейчас на форуме: artyavmu (+8 невидимых)

 eXeL@B —› Софт, инструменты —› MoleBox unpacing
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

 Создано: 03 июня 2008 05:34
· Личное сообщение · #1

Интересно что с появлением утили Олдстера траблы с извлечением файлов исчезли но появились судя по вопросам проблеммы с основным ехе!И советы даются весьма забавные поискать маджик джамп или поменять версию импрека ;) Или почитать туторы ;) А подумать? Все туторы кроме Олдстера персказывают пост флая пятилетней давности и схема эта хоть и рабочая но можно все сделать гораздо проще! Молебокс, Тинстал, Пебиндл это не протекторы и для своих функций они юзают систимные функи из оригинальной ИАТ проги и нет ни какой нужды пользоваться импреком, когда проще взять ИАТ в оригинальном виде!Скрипт прилагается
На примере одного из молебохсов
Ещем по сигне выходна оеп #FFDO# в старых соответственно ищем джамп
00441700 E8 DBFBFFFF CALL mbox2w.004412E0
00441705 58 POP EAX
00441706 E8 55070000 CALL mbox2w.00441E60 <---- первый кэлл выше ставим брякHW и запускаем!
.....................................................
00441713 FFD0 CALL EAX <----- нашли ставим HW бряк
00441715 E8 A2C90000 CALL mbox2w.0044E0BC
0044171A CC INT3
0044171B CC INT3
0044171C CC INT3
0044171D CC INT3
0044171E CC INT3
0044171F CC INT3
Брякнулись ищем функцию обрабатывающюю ИАТ Она легко находится по сигнатурам
00448AB0 55 PUSH EBP <--------брякHW eax==IAT VA ставим ret=C3
00448AB1 8BEC MOV EBP,ESP
00448AB3 83EC 48 SUB ESP,48
00448AB6 C645 FC 01 MOV BYTE PTR SS:[EBP-4],1
00448ABA C745 F8 0000000>MOV DWORD PTR SS:[EBP-8],0
00448AC1 EB 09 JMP SHORT mbox2w.00448ACC
00448AC3 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8]
00448AC6 83C0 01 ADD EAX,1
00448AC9 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX
00448ACC 8B4D F8 MOV ECX,DWORD PTR SS:[EBP-8]

....................................................
00448BD3 68 104C4500 PUSH mbox2w.00454C10 ; ASCII "The dynamic link library '%s' could not be found"
00448BD8 E8 1A390000 CALL mbox2w.0044C4F7
00448BDD 8B15 E84B4500 MOV EDX,DWORD PTR DS:[454BE8] ; mbox2w.00455918
00448BE3 8955 E8 MOV DWORD PTR SS:[EBP-18],EDX
00448BE6 8B45 14 MOV EAX,DWORD PTR SS:[EBP+14]
00448BE9 A3 E84B4500 MOV DWORD PTR DS:[454BE8],EAX
00448BEE 6A 00 PUSH 0
00448BF0 FF15 18574500 CALL DWORD PTR DS:[455718] ; kernel32.GetModuleHandleA
00448BF6 3B45 0C CMP EAX,DWORD PTR SS:[EBP+C]
00448BF9 75 67 JNZ SHORT mbox2w.00448C62
00448BFB C745 CC 044C450>MOV DWORD PTR SS:[EBP-34],mbox2w.00454C0>; ASCII "EXECUTABLE"
00448C02 8B4D 14 MOV ECX,DWORD PTR SS:[EBP+14]

EAX 00427C50 mbox2w.00427C50 <----IAT VA
ECX 00400100 ASCII "PE"
EDX 00400000 mbox2w.00400000
EBX 7FFDF000
ESP 0012FE1C
EBP 0012FE74
ESI 00441B7E mbox2w.00441B7E
EDI 00372104
EIP 00448AB0 mbox2w.00448AB0
Отпускаем ;) тормозим на оеп меняем в заголовке IAT RVA и дампим удаляем Ненужные секции и получаем оригинальный файл!
По экстракту, есть конечно утиль Но в ольке в принципе извлечь не намного сложнее файлы в оригинальном виде без танцев с бубном вокруг импрека!

00444D81 8B80 804B4500 MOV EAX,DWORD PTR DS:[EAX+454B80]
00444D87 8B00 MOV EAX,DWORD PTR DS:[EAX] ; <------buffer
00444D89 8945 C4 MOV DWORD PTR SS:[EBP-3C],EAX
00444D8C 8B45 DC MOV EAX,DWORD PTR SS:[EBP-24]
00444D8F C1E0 04 SHL EAX,4
00444D92 8B0D 08594500 MOV ECX,DWORD PTR DS:[455908]
00444D98 8B49 08 MOV ECX,DWORD PTR DS:[ECX+8]
00444D9B 837C01 08 00 CMP DWORD PTR DS:[ECX+EAX+8],0
00444DA0 0F85 07010000 JNZ mbox2w.00444EAD
00444DA6 8B45 CC MOV EAX,DWORD PTR SS:[EBP-34] ; <=== Name From Box
00444DA9 8B40 08 MOV EAX,DWORD PTR DS:[EAX+8]

бокс иго структура
003731E3 004C4C44 mbox2w.004C4C44
003731E7 00373198 ASCII "MBOX2_BLACKLIST.TXT"
003731EB 0006CC24
003731EF 0000039D
003731F3 00000033
003731F7 003731AC ASCII "MBOX2_BOOTUPDBGLT"
003731FB 0006CE31
003731FF 0001B200
00373203 00000033
00373207 003731BE ASCII "MBOX2_BOOTUPLT"
0037320B 00079E2A
0037320F 00016800
00373213 00000033
00373217 003731CD ASCII "MSKINCORE.DLL"
0037321B 00084BE8
0037321F 00021000
00373223 00000033
00373227 003731DB ASCII "MSVCP60.DLL"
0037322B 000921F6
0037322F 00062000
буферы для записи
004558F8 010A0048 <---buffer
004558FC 010B0090 <---buffer
00455900 010C0098 <---buffer
00455904 010D00A0 <---buffer
00455908 00372518 ASCII "H27"
0045590C 00373140 ASCI
Файлы не превышающие размер буфера дампятся прямо из него Для больших файлов выделяем память и копируем частями .

831c_02.06.2008_CRACKLAB.rU.tgz - MoleBox Unpacker_exe.txt



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

 Создано: 08 сентября 2008 17:13
· Личное сообщение · #2

kain пишет:
какой будет совет ?
читать стартовый пост )



Ранг: 64.4 (постоянный)
Активность: 0.050
Статус: Участник

 Создано: 08 сентября 2008 18:54
· Личное сообщение · #3

pavka пишет:
Молебокс, Тинстал, Пебиндл
PECompact не входит в это число? Там же есть какая-то инъекция dll.



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

 Создано: 09 сентября 2008 04:09
· Личное сообщение · #4

Flashback/TMX пишет:
PECompact не входит в это число?
не не входит можно добавить последние версии энигмы


<< . 1 . 2 .
 eXeL@B —› Софт, инструменты —› MoleBox unpacing
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати