 |
eXeL@B —› Вопросы новичков —› это execrypt или проще? |
| Посл.ответ | Сообщение |
|
|
Создано: 22 февраля 2007 06:32 · Личное сообщение · #1 всем привет, хочу разобраться с этой dll (в прицепе) peid говорит , что это execrypt версии 2.1 вообще ломается ли execrypt ? универсального туториала я так понял не существует..  55ef_22.02.2007_CRACKLAB.rU.tgz - 1dll.zip
 |
|
|
Создано: 22 февраля 2007 07:51 · Личное сообщение · #2 При распаковке выдает ошибку. |
|
|
Создано: 22 февраля 2007 09:46 · Личное сообщение · #3 внутри tgz - лежит 1dll.zip а уже в нем мой.dll |
|
|
Создано: 22 февраля 2007 11:48 · Личное сообщение · #4 У меня PEiD 0.94 говорит что это - PEtite 1.3 -> Ian Luck и проблем с распаковкой я не обнаружил : OEP 1001eec3 |
|
|
Создано: 22 февраля 2007 14:31 · Личное сообщение · #5 shishkin пишет: вообще ломается ли execrypt ? ломается, если у тебя много опыта, он не последней версии и нет обфускации |
|
|
Создано: 24 февраля 2007 01:58 · Личное сообщение · #6 при запущенной вместе с этим плагином программе олли говорит : access violation а вот если без этой dll запускать - все нормально программа отлаживается. Tolkin пишет: и проблем с распаковкой я не обнаружил : не могу понять как ты распаковал?? 
|
|
|
Создано: 24 февраля 2007 05:21 · Личное сообщение · #7 Во первых я просто нашел OEP - дамп не снимал и импорт не восстанавливал, так как все равно проверить негде работоспособность. А находил OEP так: -смотрим в PEiD какие секции: UPX0 UPX1 y3fgzmp1 8hdhqbat ---> в этой секции точка входа it.6a8e3 На вид получается, что прога сначала запакована UPX а затем и другой хренью. Запускаем dll в OllyDbg и ставим точки останова на доступе к секциям UPX0 и UPX1 b и запускаем. Брякаемся в UPX1 1002E92B 60 PUSHAD
Видим что это стандартный распаковщик UPX, смотрим ниже 1002EAA7 8BAE 44E50200 MOV EBP,DWORD PTR DS:[ESI+2E544]
а вот приведенный код до перехода на OEP левый - он по ходу либо коцает импорт (или восстанавливает) - я не вникал. Доходим до OEP 1001EEC3 837C24 08 01 CMP DWORD PTR SS:[ESP+8],1
Это стандартное начало DLL для VC++8 |
|
|
Создано: 24 февраля 2007 11:24 · Личное сообщение · #8 спасибо за ответ! я попробую снять , надеюсь проблем не возникнет |
|
|
Создано: 26 февраля 2007 00:02 · Личное сообщение · #9 снял дамп на jmp 1001EEC3 (пробовал и дальше в уже распакованной программе) - imprec и lord не видят IAT про адресу 1EEC3 (-10000000 Image), видимо импорт завален? Что делать? кстати программы , запакованные PEtite 1.3 -> Ian Luck выглядят иначе. (я уж нашел пакер petite 1.3) Даже пробовал upx + petite тоже выглядят по другому... хм petite не переименовывает секции и пишет в заголовке packed by petite. |
|
|
Создано: 26 февраля 2007 02:53 · Личное сообщение · #10 shishkin Скорее всего это execrypt замаскированный под petite. Первые две секции UPX, но дальше явно что-то серьезное. |
|
|
Создано: 26 февраля 2007 03:37 · Личное сообщение · #11 Пакер использует IsDebuggerPresent, поэтому я включил анти-отладку в олли и копаюсь по тихоньку в памяти Если сдампить так и не удастся - сделаем лоадер !! 
|
|
|
Создано: 26 февраля 2007 08:29 · Личное сообщение · #12 Попробуй в точке 1002EAA7 сразу перейти на OEP и затем снимать дамп |
|
|
Создано: 26 февраля 2007 11:35 · Личное сообщение · #13 Ребята, Что-то опять меня не отпускает ))) Криво работает пофиксенный dll. Делал дамп pstools и LorPE (резалт один). Запускаю imprec. Импорт определился автоматом с RVA OEP = 1EEC3. Все функции - YES. По адресу RVA я прошелся hex-редактором и глянул - да действительно адрес и размер совпадают, тут лежит типичный импорт. Ладно , делаю [fix] - и запускаю в отладчике (олли) посмотреть что там. И тут Олли показывает warning: Module 'RBRTM_' has entry point outside the code )as specified in the PE header). Maybe this file is self-extracting or self-modifying. Please keep it in mind when setting breakpoints! [OK] в логе видим сообщение: Address=10030000 Message= Code size in header is 00011000, extending to size of section '8hdhqbat' Message= Import Lookup Table outside .idata Правда после этого все работает точно также как бы я запустил нераспакованную dll. То естьв принципе все работает. Но! в моей программе эта dll не подгружается вообще (лога там нет). Задницей чую что-то я не так сделал при фиксе в imprec ))) Галочка "fix ep to oep" стоит. Секции в начале файла как были такие и остались: UPX0 UPX1 y3fgzmp1 8hdhqbat it.6a8e3 Правда в середине есть типичные секции rdata reloc rsrc и тп. PEiD теперь пишет что у меня запаковано : UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo ))))) Подскажите, как надо правильно dll восстанавливать? Может быть прибить секции пакера, и мне настанет счастье? Спасибо! |
|
|
Создано: 26 февраля 2007 12:00 · Личное сообщение · #14 У меня обычно стоит галочка на "Add new section" и в прогу добавляется секция с импортом. Попробуй, может поможет. Для проверки еще поставь бряки на секции y3fgzmp1 8hdhqbat it.6a8e3 в распакованой dll. По идее на секции пакера обращений быть не должно (хотя может они и не все - пакера, может просто переименованы?) |
|
|
Создано: 26 февраля 2007 20:59 · Личное сообщение · #15 Ок, попробую вечерком, а куда секция добавляется? В конец файла? |
|
|
Создано: 02 марта 2007 11:52 · Личное сообщение · #16 Уррааа распаковка закончена! Пришлось правда восстановить export table (специально прочитал про стуктуру export в dll). Потом в отладчике увидел INT3 и заменил CC на 83 в точке EP (так как я дампил стоя прямо на OEP). 
|
|
|
Создано: 03 марта 2007 10:57 · Личное сообщение · #17 Маладэц
|
|
|
Создано: 04 марта 2007 06:24 · Личное сообщение · #18 Энто я еще не маладэц был
Оказывается работало только на моей винде 
Вчера пришлось быстро почитать про релоки, и восстановить их программой ReloX. Оригинальный метод загрузки одной и той же dll в разные имейдж базы и создание на этой основе релоков. Ущас наконец то всё с распаковкой. Столько нового узнал! Tolkin сильно помог вначале, а дальше я сам доделал. Далее код буду вставлять в нее. |
|
eXeL@B —› Вопросы новичков —› это execrypt или проще? |
Для печати