Сейчас на форуме: Kybyx, user99 (+3 невидимых)

 eXeL@B —› Оффтоп —› FishPEP
Посл.ответ Сообщение

Ранг: 49.8 (посетитель), 56thx
Активность: 0.090
Статус: Участник

 Создано: 30 июня 2012 10:54 · Поправил: ressa
· Личное сообщение · #1

Господа, есть пакер, основанный на uPack, степень сжатия в разы лучше. Сигнатура:
Code:
  1. 60 B8 24 00 40 00 FF D0 5A 00 00 00 18 E0 99 00 00 00 00 00 D0 00 00 00 EE 00 00 00 00 00 00 00 57 56 53 55 89 E5 8B 45 20 01 45 24 50 FC 8B 75 18 01 75 1C 56 8B 75 14 89 F7 29 C0 AC 50 AC 50
  2. 00D9E004: 60                  PUSHAD 
  3. 00D9E005: B824004000          MOV EAX, 00400024H
  4. 00D9E00A: FFD0                CALL EAX
  5. 00D9E00C: 5A                  POP EDX
  6. 00D9E00D: 0000                ADD [EAX], AL
  7. 00D9E00F: 0018                ADD [EAX], BL
  8. 00D9E011: E099                LOOPNZ D9DFACH
  9. 00D9E013: 0000                ADD [EAX], AL
  10. 00D9E015: 0000                ADD [EAX], AL
  11. 00D9E017: 00D0                ADD AL, DL
  12. 00D9E019: 0000                ADD [EAX], AL
  13. 00D9E01B: 00EE                ADD DH, CH
  14. 00D9E01D: 0000                ADD [EAX], AL
  15. 00D9E01F: 0000                ADD [EAX], AL
  16. 00D9E021: 0000                ADD [EAX], AL
  17. 00D9E023: 005756              ADD [EDI+56H], DL
  18. 00D9E026: 53                  PUSH EBX
  19. 00D9E027: 55                  PUSH EBP
  20. 00D9E028: 89E5                MOV EBP, ESP
  21. 00D9E02A: 8B4520              MOV EAX, [EBP+20H]
  22. 00D9E02D: 014524              ADD [EBP+24H], EAX
  23. 00D9E030: 50                  PUSH EAX
  24. 00D9E031: FC                  CLD 
  25. 00D9E032: 8B7518              MOV ESI, [EBP+18H]
  26. 00D9E035: 01751C              ADD [EBP+1CH], ESI
  27. 00D9E038: 56                  PUSH ESI
  28. 00D9E039: 8B7514              MOV ESI, [EBP+14H]
  29. 00D9E03C: 89F7                MOV EDI, ESI
  30. 00D9E03E: 29C0                SUB EAX, EAX
  31. 00D9E040: AC                  LODSB 
  32. 00D9E041: 50                  PUSH EAX
  33. 00D9E042: AC                  LODSB 
  34. 00D9E043: 50                  PUSH EAX

Вопрос заключается в том - в какую сторону копать, чтобы изменить сигнатуру при упаковке она была другая?




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 30 июня 2012 11:18
· Личное сообщение · #2

Возьми да стаб поменяй, чо тут копать-то.



Ранг: 49.8 (посетитель), 56thx
Активность: 0.090
Статус: Участник

 Создано: 30 июня 2012 15:59
· Личное сообщение · #3

Можно подробнее, пожалуйста.




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 30 июня 2012 16:14
· Личное сообщение · #4

При упаковке в отдельную секцию дописывается стаб, который делает распаковку, заполняет импорт, релоки и тд. Он скорее всего где-то в данных хранится пакера и дописывается единым блоком. Взять изменить стаб, чтоб сигнатура не ложилась, да поправить его в данных.
Хотя, сказать честно, не улавливаю я смысла этих манипуляций.



Ранг: 49.8 (посетитель), 56thx
Активность: 0.090
Статус: Участник

 Создано: 30 июня 2012 20:26
· Личное сообщение · #5

Archer
Спасибо, мысль уловил.
Мне это собственно нужно для следующих цуелей:
- избежать сигнатурного анализа
- усложнить неопытным рипперам жизнь
Протекторы вешать не вариант, нужен именно хороший пакер, вот на этом я и остановился, т.к. жмет получше многих других.
Если моя затея глупа, или можно все упростить - с радостью бы выслушал Ваши рекомендации.




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 30 июня 2012 21:04
· Личное сообщение · #6

Сигнатурный анализ имеет смысл сбивать, если есть уже анпакеры под него, чтоб работать перестали. Если и так анпакеров и статей нет, какая разница, увидит он XXX или Unknown. А лично я под это анпакеров и статей не встречал. Хотя я давно уже и не интересовался ими, честно говоря, мог и пропустить.

| Сообщение посчитали полезным: ressa

Ранг: 49.8 (посетитель), 56thx
Активность: 0.090
Статус: Участник

 Создано: 30 июня 2012 21:39
· Личное сообщение · #7

Archer
Согласен с Вами, но если на будущее - я бы перестраховался. Подскажите, а какую "пост-обработку" можно сделать? Ну или как можно защититься к примеру от Вашего же творения и ему подобным автоанпакерам?




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 30 июня 2012 23:19
· Личное сообщение · #8

Ну наше творение сигнатуры не использует, поэтому сбитием сигнатур тут не обойдёшься. Другой вопрос, что с оеп он косячит часто. Не знаю, вбитие руками оеп можно считать защитой или нет. Если нет, то в принципе зависит от настойчивости, скриптом многое сделать можно. Если просто от автомата защита, сопри оеп, например.

| Сообщение посчитали полезным: ressa

Ранг: 49.8 (посетитель), 56thx
Активность: 0.090
Статус: Участник

 Создано: 30 июня 2012 23:24
· Личное сообщение · #9

Спасибо большое. Тему пока закрывать не буду, пусть повисит, может другие тоже выскажут предложения. Хотя мало кому интересны подобные легкие и неинтересные задачи, но все же.



Ранг: 0.0 (гость)
Активность: 0.250
Статус: Участник

 Создано: 07 июля 2012 09:36
· Личное сообщение · #10

ressa
От авера затирания сигнатур не помогут.



Ранг: 309.8 (мудрец), 21thx
Активность: 0.170
Статус: Участник

 Создано: 07 июля 2012 20:28
· Личное сообщение · #11

Боже, храни GPE.

-----
Shalom ebanats!
 eXeL@B —› Оффтоп —› FishPEP

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0

   Для печати Для печати