Сейчас на форуме: vsv1, _MBK_ (+3 невидимых)

 eXeL@B —› Вопросы новичков —› Странный UPX
Посл.ответ Сообщение

Ранг: 20.4 (новичок)
Активность: 0.020
Статус: Участник

Создано: 14 августа 2007 19:51
· Личное сообщение · #1

Здравствуйте!
Недавно мне попалась одна прога Power Mixer (аудио микшер).Я испробовал кучу анализаторов(PEID, RDG, EXEinfo) разных версий, но результат один и тот-же Nothing found *. Только DIE говорит UPX <modified>. Прога явно запакована, но с подобным пакером я ещё не встречался.
EP:
004CD060: 55 push ebp
004CD061: 8BEC mov ebp, esp
004CD063: 83EC40 sub esp, 00000040h
004CD066: 53 push ebx
004CD067: 56 push esi
004CD068: 57 push edi
004CD069: 60 pushad
004CD06A: E800000000 call 004CD06Fh
004CD06F: B929434000 mov ecx, 00404329h
004CD074: 81E989394000 sub ecx, 00403989h
004CD07A: 5A pop edx
004CD07B: 81EA2F394000 sub edx, 0040392Fh
004CD081: 8BEA mov ebp, edx
Пытаюсь запустить в отладчике , вылетает с ошибкой.
Заранее спасибо за любую помощь.
Ссылки:
slil.ru/24714600 (файлы отдельно) ~300kb
slil.ru/24714606 (инст.) ~500kb



Ранг: 59.9 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 14 августа 2007 22:02
· Личное сообщение · #2

используй QuickUnpack
Он распаковал,только распакованный файл не запускается...сейчас посмотрим почему...



Ранг: 59.9 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 14 августа 2007 23:26 · Поправил: El_Diablo
· Личное сообщение · #3

004512C9 57 PUSH EDI

Вот отсюда начинается интересная процедура...

00451353 /74 07 JE SHORT 0045135C

а эта инструкция убивает сдампленную прогу =\



Ранг: 120.2 (ветеран), 8thx
Активность: 0.120
Статус: Участник

Создано: 14 августа 2007 23:29
· Личное сообщение · #4

похоже UPX обработанный какой-то дрянью. Взял олю от внекрилова+плагин от хелла. И все будет тип топ.

b151_14.08.2007_CRACKLAB.rU.tgz - d_.rar



Ранг: 59.9 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 14 августа 2007 23:33
· Личное сообщение · #5

похоже UPX обработанный какой-то дрянью
Ога...+ не дампится LordPE
Пришлось PETools юзать.
П.С.: ни мой дамп, ни дамп cadetу меня не пашут



Ранг: 20.4 (новичок)
Активность: 0.020
Статус: Участник

Создано: 15 августа 2007 09:50 · Поправил: ReZiDenT_USSR
· Личное сообщение · #6

cadet пишет:
И все будет тип топ.
Спасибо, работает.
Не мог бы показать, как распаковал?



Ранг: 20.4 (новичок)
Активность: 0.020
Статус: Участник

Создано: 15 августа 2007 10:46
· Личное сообщение · #7

Из всех имеющихся у меня модификаций OllyDBG запускается только в ODBG для execryptor'а.
Я тоже распаковал, но не работает, не могу найти, где падает.
slil.ru/24738906



Ранг: 81.5 (постоянный), 5thx
Активность: 0.080
Статус: Участник

Создано: 15 августа 2007 17:16
· Личное сообщение · #8

cadet
Распакованный файл действительно не запускается.
Я распаковывал так:
hr esp-4 жмем 2 раза, далее применяем плагин Analyse This!, потом F8, потом Shift+F8, попадаем в область системных библиотек, выходим из нее по F8, далее попадаем в функцию программы:
004C8781 BE 00704800 MOV ESI,00487000
Листаем вниз находим прыжок на OEP:
004C8934 - E9 B379F8FF JMP 004502EC - ставим бряк
Ну и F8, мы на OEP.
Но все равно файл после этого не запускается. Может кто знает в чем беда?



Ранг: 222.2 (наставник), 115thx
Активность: 0.140.01
Статус: Участник

Создано: 15 августа 2007 17:19
· Личное сообщение · #9

Распаковал:
Entry Point: 000502EC
Image Base: 00400000
Image size: 000D1200
Мне кажется где-то есть просто проверочка на распакованность...

ReZiDenT_USSR пишет:
Из всех имеющихся у меня модификаций OllyDBG запускается только в ODBG для execryptor'а

У меня запустилось в обычной ольке(только со стилем от TSRh). Плагины которые у меня тут стоят:

1 CommandBar
2 Code Ripper
3 HideDebugger
4 OllyDump
5 FullDisasm
6 OdbgScript

и всё.


d675_15.08.2007_CRACKLAB.rU.tgz - dUmpEd.rar

-----
все багрепорты - в личные сообщения




Ранг: 81.5 (постоянный), 5thx
Активность: 0.080
Статус: Участник

Создано: 15 августа 2007 17:29
· Личное сообщение · #10

HandMill пишет:
Распаковал:
Entry Point: 000502EC
Image Base: 00400000
Image size: 000D1200

У меня аналогично, но когда я запускаю мой распакованный файл он просто не запускается и ничего не пишет, т.е. симптомы как-будто стоит таймер или проверка на распакованность, а когда от cadet и HandMill, то выдает ошибку, интересно почему так?



Ранг: 20.4 (новичок)
Активность: 0.020
Статус: Участник

Создано: 15 августа 2007 18:27 · Поправил: ReZiDenT_USSR
· Личное сообщение · #11

HandMill пишет:
Распаковал:
Entry Point: 000502EC
Image Base: 00400000
Image size: 000D1200


У меня всё тоже самое, но прога запускается и терминейдиться в этом месте:
00451353 |. /74 07 JE SHORT 0045135C <-- если занопить, происходит ошибка
00451355 |. |E8 1D000000 CALL 00451377
0045135A |. |5F POP EDI
0045135B |. |C3 RET
0045135C |> \FF7424 08 PUSH DWORD PTR SS:[ESP+8] ; /ExitCode
00451360 |. 893D 54C64A00 MOV DWORD PTR DS:[4AC654],EDI ; |
00451366 \. FF15 50B24700 CALL DWORD PTR DS:[<&kernel32.ExitProces>; \ExitProcess
0045136C . 5F POP EDI
0045136D . C3 RET

deepred пишет:
но когда я запускаю мой распакованный файл он просто не запускается и ничего не пишет

скорее всего тоже самое.

P.S.
Незнаю, может быть у меня одного только так, дамп cadet 'а нормально запустился несколько раз, а потом стал выдавать при запуске ошибку




Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

Создано: 15 августа 2007 22:35
· Личное сообщение · #12

Попробуйте
slil.ru/24741815

-----
Research For Food




Ранг: 81.5 (постоянный), 5thx
Активность: 0.080
Статус: Участник

Создано: 15 августа 2007 23:16
· Личное сообщение · #13

daFix пишет:
Попробуйте

Не работает. Симптомы точно такие же как и у всех предыдущих распаковок.



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 16 августа 2007 05:47
· Личное сообщение · #14

ReZiDenT_USSR
А версию 2.2 с крэком на cracks.am не пробовал?

-----
Security through obscurity is just an illusion




Ранг: 81.5 (постоянный), 5thx
Активность: 0.080
Статус: Участник

Создано: 16 августа 2007 05:52
· Личное сообщение · #15

ReZiDenT_USSR
Вот, попробуй этот вариант, у меня работает нормально.
Пришлось пропатчить, чтобы не вылетал.


02f6_15.08.2007_CRACKLAB.rU.tgz - Dump.rar



Ранг: 20.4 (новичок)
Активность: 0.020
Статус: Участник

Создано: 16 августа 2007 08:53 · Поправил: ReZiDenT_USSR
· Личное сообщение · #16

pushick пишет:
А версию 2.2 с крэком на cracks.am не пробовал?

Да мне собственно сама прога не нужна, было интересно, чем она запакована.

deepred пишет:
у меня работает нормально

Спасибо, работает. А где ты пропатчил?



Ранг: 81.5 (постоянный), 5thx
Активность: 0.080
Статус: Участник

Создано: 16 августа 2007 09:46
· Личное сообщение · #17

ReZiDenT_USSR пишет:
А где ты пропатчил?

Просто занопил это место:
0042D1C4 F735 7CA44A00 DIV DWORD PTR DS:[4AA47C]



Ранг: 20.4 (новичок)
Активность: 0.020
Статус: Участник

Создано: 16 августа 2007 10:42
· Личное сообщение · #18

Там мутирующий код так прыжок на oep выглядит до запуска
004C891F 8F ??? ; Unknown command
004C8920 C8 C6876C ENTER 87C6,6C
004C8924 FF81 856EA4C1 INC DWORD PTR DS:[ECX+C1A46E85]
004C892A 5A POP EDX
004C892B 81D4 8812BE42 ADC ESP,42BE1288
004C8931 46 INC ESI
004C8932 EE OUT DX,AL ; I/O command
004C8933 3F AAS
004C8934 E3 2A JECXZ SHORT pwmixer1.004C8960
004C8936 AD LODS DWORD PTR DS:[ESI]
004C8937 2B2D ADAAA7A4 SUB EBP,DWORD PTR DS:[A4A7AAAD]

А так перед прыжком
004C8922 57 PUSH EDI
004C8923 FFD5 CALL NEAR EBP
004C8925 58 POP EAX
004C8926 61 POPAD
004C8927 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
004C892B 6A 00 PUSH 0
004C892D 39C4 CMP ESP,EAX
004C892F ^ 75 FA JNZ SHORT pwmixer1.004C892B
004C8931 83EC 80 SUB ESP,-80
004C8934 - E9 B379F8FF JMP pwmixer1.004502EC

Интересно, что это за криптор



Ранг: 35.1 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 16 августа 2007 15:25
· Личное сообщение · #19

ReZiDenT_USSR пишет:
Там мутирующий код так прыжок на oep выглядит до запуска
004C891F 8F ??? ; Unknown command
004C8920 C8 C6876C ENTER 87C6,6C
004C8924 FF81 856EA4C1 INC DWORD PTR DS:[ECX+C1A46E85]
004C892A 5A POP EDX
004C892B 81D4 8812BE42 ADC ESP,42BE1288
004C8931 46 INC ESI
004C8932 EE OUT DX,AL ; I/O command
004C8933 3F AAS
004C8934 E3 2A JECXZ SHORT pwmixer1.004C8960
004C8936 AD LODS DWORD PTR DS:[ESI]
004C8937 2B2D ADAAA7A4 SUB EBP,DWORD PTR DS:[A4A7AAAD]


Нет там мутирующего кода. Можешь поставить бряк на выполнение и он не сработает.
У всех трабл возник, из-за того что в распакованном файле функция
0042D1AD FF15 88B34700 CALL DWORD PTR DS:[<&kernel32.OpenMutexA>; kernel32.OpenMutexA
возвращает ноль, а в не распакованном файле возвращается хендл.
deepred пишет:
Просто занопил это место:
0042D1C4 F735 7CA44A00 DIV DWORD PTR DS:[4AA47C]

По адресу 4AA47C как раз должен лежать хендл, а лежит ноль поэтому возникало исключение и прога завершалась.
Дальше по коду есть ещё вызов kernel32.OpenMutexA в моем дампе возвращается ноль, в дампе deepred возвращается хендл. Я вообщем накосячил с импортом, не туда его записал.
0042DF7E F7F9 IDIV ECX Чуть ниже опять идет деление на ноль(хендл), если занопить, то наг не появляется.

Полазил по инету почитал про функцию OpenMutexA, но так и не понял нафиг она нужна, что такое мутексы и почему в распакованном файле она возвращает ноль. Может кто мне объяснит доступным крякерским языком, чё за функция такая?



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 16 августа 2007 16:26
· Личное сообщение · #20

Может быть лоадер пакера должен был ставить мьютекс (объект синхронизации, все подробности в MSDN), а потом программа проверяла его наличие и в случае отсутствия считала себя распакованной и выходила. Моя гипотеза, просьба не пинать.

-----
Security through obscurity is just an illusion




Ранг: 35.1 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 16 августа 2007 16:56
· Личное сообщение · #21

pushick

Проверил твою гипотезу. До ОЕР вызывается CreateMutexA, который возвращает хендл.
004CD774 FF12 CALL DWORD PTR DS:[EDX] //CreateMutexA
Теперь понятно почему OpenMutexA возвращает ноль, потому что в распакованном файле мьютекс ещё не создан.


 eXeL@B —› Вопросы новичков —› Странный UPX
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати