Unpacking ExeStealth v3.04-外文翻译-看雪-安全社区|安全招聘|kanxue.com

Unpacking ExeStealth v3.04

发表于: 2005-5-2 15:23 4888

Unpacking ExeStealth v3.04

鸡蛋壳

2005-5-2 15:23

4888

谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
?                               ?Uvod ?                               ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁

  Hmm, dobrodosli u jos jedan unpacking tutorijal. Danas se bavimo ExeStealth
  pakerom / protektorom.

  Zasto paker/protektor? Zato sto ExeStealth kombinuje izvrsnu kompresiju UPX
  pakera i zastitu Morphine v2.7 protektora.

  To dvoje kada se iskombinuje, ne moze da ne valja :))

谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
?                               ?Alati ?                               ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁

  ?OllyDbg v1.10
  ?ProcDump v1.6.2 FiNAL

谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
?                            ?Reversing ?                            ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁

  Oke, ucitavamo pakovani exe u OllyDbg. Nalazimo se ovde:

  005115ED > $  C1EA 60    SHR    EDX, 60                         ;  Shift constant out of range 1..31
  005115F0 .  7E 08       JLE    SHORT packed.005115FA
  005115F2 .  76 06       JBE    SHORT packed.005115FA
  005115F4 .  51          PUSH ECX
  005115F5 .  66:83CD 00 OR    BP, 0
  005115F9 .  59          POP    ECX
  005115FA >  66:83E0 FF AND    AX, 0FFFF
  005115FE .  F5          CMC
  005115FF .  76 03       JBE    SHORT packed.00511604
  00511601 .  80E9 00    SUB    CL, 0
  00511604 >  F8          CLC
  00511605 .  51          PUSH ECX
  00511606 .  66:83F1 00 XOR    CX, 0
  0051160A .  59          POP    ECX
  0051160B .  60          PUSHAD
  0051160C .  3D 27D916B6 CMP    EAX, B616D927
  00511611 .  87FF       XCHG EDI, EDI
  00511613 .  7F 04       JG    SHORT packed.00511619

  Pritiskamo F8 dok ne izvrsimo PUSHAD. Vidimo da se ESP registar promenio.

  Kliknemo desnim tasterom misa na ESP registar i izaberemo:

  Follow in dump

  U dump prozoru selektujemo prva 4 bajta i kliknemo desnim tasterom na njih.
  Izaberemo:

  Breakpoint -> Hardware, on access -> Dword

  Pritisnemo F9 jedanput i dobicemo neku warrning poruku. Samo Ok i dolazimo ovde:

  005110B0 5E             POP    ESI
  005110B1 5D             POP    EBP
  005110B2 83C4 04          ADD    ESP, 4
  005110B5 5B             POP    EBX
  005110B6 5A             POP    EDX
  005110B7 83C4 08          ADD    ESP, 8
  005110BA 894C24 04       MOV    DWORD PTR SS:[ESP+4], ECX
  005110BE FFE0             JMP    NEAR EAX

  Izvrsimo JMP i dolazimo do ovog koda:

  00401000 6A 00          PUSH 0
  00401002 E8 FF040000    CALL packed_1.00401506             ; JMP to kernel32.GetModuleHandleA
  00401007 A3 CA204000    MOV    DWORD PTR DS:[4020CA], EAX
  0040100C 6A 00          PUSH 0
  0040100E 68 F4204000    PUSH packed_1.004020F4             ; ASCII "No need to disasm the code!"
  00401013 E8 A6040000    CALL packed_1.004014BE             ; JMP to USER32.FindWindowA
  00401018 0BC0             OR    EAX, EAX
  0040101A 74 01          JE    SHORT packed_1.0040101D
  0040101C C3             RETN

  Da, to je OEP. Ako sada pokusamo da dampujemo fajl sa OllyDump pluginom,
  necemo uspeti.

  Za tu svrhu koristimo dobri stari ProcDump :)

  Uradite Full dump procesa. Ovde takodje vidimo da je IAT u redu i da ako
  dampujemo fajl sve biti u redu.

  Dakle, uradite full dump procesa i probajte da pokrenete dampovani fajl.

  Sve radi OK :)

谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
?                            ?Zavrsne reci ?                            ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁

  Eto, to je to. Nadam se da ste uzivali i pre svega naucili nesto iz ovog
  tutorijala.

  Toliko od mene za ovaj tutorijal!

  KEEP UP THE GOOD WORK AND CRACK ON!

  Over and out!

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持