W на S m
В тази глава ще разгледаме ме разопаковането изработени от опаковчик, който е трудно да се спечели в OllyDbg, тъй като има една част, която не работи в Оли и дава грешка. Но ние ще се използва все още OllyDbg, без значение какво. Можем да използваме друг дебъгер, но също така е "Въведение в кракване използване OllyDbg», хехе.
Така че дори и с подути глави, ние ще използваме OllyDbg въпреки всичко. Разопаковайте-I върви заедно с изделието, и той изглежда наистина protivoOllinym. Пусни го, без корекция на грешки.
Това е точката, когато тя се изпълнява, той консумира 99% от ресурсите на колата ми. Нека да разберете дали той го прави, за да се защити или дори защо.
Ако искате priattachitsya към него, тогава ще трябва да отиде в процеса на файлове поставете и търсене.
И не забравяйте priattachitsya.
Ако се отвори в OllyDbg, кръпка, за да намерите OEP, което се използва в предишните глави:
Ако кликнете в непосредствена близост до бутона за изпращане:
И ако ние се свършват:
Рестарт и се върнете към точката на прекъсване на стартиране на системата, но когато спре, след това отидете на «М» прозорец.
Виждаме, че има една секция, която е резултат от известна грешка при смяна на RVA и размер в заглавната част на файла. И все пак определя BPM за достъп до посочения участък. Не забравяйте, че това OllyDbg - специален, и да се спре само за изпълнението на кода, но не и когато се чете или писмено.
Сега извадете BPM и прави RUN.
Добре изглеждат заглавията ценности и размери RVA.
Сега отиваме надолу, докато не се намери стойността.
Тук е стойността, която трябва да бъде равна на 10 шестнадесетичен. Да видим какво ще стане, ако ние го промените.
Опитваме се да запазите промените.
Сега запазите промените.
Запазване под различно име.
Виждаме, че при отварянето се извършва в OllyDbg спирка на входната точка (както трябва да бъде). File Repair използването на този прием е вярна. Сега могат да се стартират.
Grrrr ... Грешен отново. Сега, когато сме в точката на влизане, променете стойността в паметта на RVA и размера на тези, които са били на първо място. Това е необходимо за правилното разопаковането.
Тъй като ние вече сме там, където искате, ние настроите желаната стойност и да видим дали тя работи.
Стойността, сега се справя RUN.
Очевидно е, че някои от кода не се обхожда чрез OllyDbg, ottrassirovat се опита, но не намери нищо странно, стигаме до точката, в която се извършва преходът към несъществуваща точка и довиждане. В OllyDbg не извършва.
Ние искаме това, че каквото и да беше да се покаже методи, които се използват често в такива случаи. Тук ние се нуждаем от това необичайно, то изисква вдъхновение. Otoydom известно време, помислете какво може да излезе с такова неочаквано.
Е, аз ще ви покажа всички възможности. Следващият метод не е полезно (но трябва да сте запознати с тези техники, както често те работят).
Open PARCHEADO 5 и да го настроите като точно на време за отстраняване на грешки, това е, когато програмата е причината за грешката, дебъгер автоматично се свързва с него.
Натиснете този бутон, за да постави в режим на OllyDbg JIT. Когато приключите работа с OllyDbg, трябва да се възстанови JIT-стари дебъгер чрез натискане на «реставрация на стари точно на време за отстраняване на грешки», в противен случай ще се проведе OllyDbg всяка грешка в програмата, и това е много уморително.
Сега близо PARCHEADO 5 и направете десен бутон кликнете върху файла източник, разопаковането мен. Онзи, където ние променихме RVA и други размери могат да бъдат изтрити, тъй като не ни помогна.
За тези от нас, които понякога се използва Господи PE DELUXE в системата с десния бутон върху менюто има опция «BREAK и посочете», в която са INT3 на входната точка на програмата, в резултат на грешка, и да започнете JIT-Debugger, който е свързан за да задейства процеса на грешка. Ние се опитваме.
OllyDbg започва и се присъединява към този процес. Виждаме INT3, задайте LordPE. INT3 да замени PUSHAD, което би трябвало да е тук.
GRRRRR, най-малко е направено в OllyDbg, ние трябва да се проведе следа ред по ред и да разбера какво се случва, но в действителност, нямам никакво желание да го направя, така че се смята, и си помислих, мисля, хехе.
Ние винаги ще се използва оригиналния файл. Отворете го в PeEditor'e.
Сега погледнете секцията.
С PeEditor'a може перфектно да видите всички раздели.
Ние не знаем нищо за програмата, но това е напълно възможно, че тя има функционалността на повечето други опаковчици са разопаковани в частта, която започва с 401 000, че е този, който ние говорим тук на първо място, тъй като там не се показва с глава. Какво се случва, ако промените настройките за достъп до някои раздели, премахване на правото за записване, и няма да има опит да се пише тук? Грешка ще се появи и ще PARCHEADO 5, която е зададена на JIT дебъгер-хехе, вярно ли е? Ние можем да го пробвам първата част, но мисля, че след разопаковане програма за поддържане на API-функции на IAT, и тя може да бъде в следващия раздел, така че се опитайте първо място, а след това, ако нищо не се случва, ние можем да poprovat на първо място.
Open съветника, за да промените настройките за единицата.
Премахнете отметката от «записваем».
Работи с най-разопаковам-I, които са се променили разрешенията, а след това се появява OllyDbg кръпка, инсталира като JIT-Debugger.
Ние виждаме, че програмата е спряна, когато той се опита да спаси стойността на един от API-функции в горната част (хехе, моето предположение е правилно), който доведе до грешка, която бе открита OllyDbg, което автоматично се свързва с програмата.
Сега, за да може да продължите, трябва ръчно да промените разрешенията по този раздел, така че тя може да напише. Натиснете «М».
Без значение какво OllyDbg ни показва само една секция. Направете следното: ние натиснете десния бутон на мишката и да зададете пълен достъп, т.е. «Пълен достъп».
Сега се опитайте да изпълни инструкцията помощта на F7, вижте дали поддържа правилно, или отново за грешка.
Виждаме, че оцеля без никакви проблеми, сега ще се запомни като един участък, разположен в PeEditor'e като OllyDbg ни показва, че тази информация не е много добро.
Ако се вгледате в това, което е в 401 000, ще видим, че тя е разопакован програма.
Сега могат да се стартират.
Сега ще спрем в OEP, която се намира точно в 401000.
Добре, ние сме направили най-трудната част, сега трябва sdampit програма.
И ние продължаваме дамите се търсят IAT и данни за IMP REC'a.
OEP е предизвикателство в рамките на една API-функции.
И ако ние следваме, това ще ни доведе до преходите в API-функции.
Попълнете полетата за OEP, RVA и размер, и след това кликнете върху внос. Тя ни Gauvreau, че всичко е «ДА», хехе.
Пропускане през сметище «FIX DUMP задачите», и когато използвате, ще получите съобщение за грешка.
Ние трябва да се лекува в LordPE в използване на «Rebuild PE».
Бягай, и сбогом, Пакър!
Усилията ни дадоха резултати от използването на необичайни техники. Някои неща пакетиране направят същото, но те също се защитят от конвенционалните методи.
[C] Ricardo Narvaha, Acad. Aquila