Manual Unpacking hmimys - Packer 1.0
Introduction: Thấy bên www.unpack.cn có giới thiệu 1 Packer “cây nhà là vườn” của họ là hmimys-Packer 1.0. Hàng mới anh em ta cùng nhau MUP nó thử xem sao? II- Tools & Target: Tool và các Plugin cần dùng: OLLYDBG 1.10 OllyDump 2.2 plugin ImportREC 1.6f PEiD 0.94 Target: hmimys-Packer 1.0
Bạn đang xem nội dung tài liệu Manual Unpacking hmimys - Packer 1.0, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Manual Unpacking hmimys-Packer 1.0
I- Introduction:
Thấy bên www.unpack.cn có giới thiệu 1 Packer “cây nhà là vườn” của
họ là hmimys-Packer 1.0. Hàng mới anh em ta cùng nhau MUP nó thử
xem sao?
II- Tools & Target:
Tool và các Plugin cần dùng:
OLLYDBG 1.10
OllyDump 2.2 plugin
ImportREC 1.6f
PEiD 0.94
Target: hmimys-Packer 1.0
III-Find OEP & Dump File:
_Nhưthường lệ dùng PEiD 0.94 Scan target
_Nếu PEiD của bạn ko nhận diện ra hmimys-Packer 1.0 thì Add
thêm signature này vào “userdb.txt”
[hmimys-Packer V1.0]
signature = E8 BA 00 00 00 ?? 00 00 00
ep_only = false
_Ok, Load Target vào OllyDBG
_Nhấn F7
_Cuộn chuột xuống đến vị trí kết thúc đoạn Code này và nhấn F2 để
Set 1 BP tại đó
_Nhấn F9 sẽ dừng tại điểm chúng ta vừa Set BP
_Nhấn F8 sẽ tới được OEP
_Bây giờ chúng ta cần xác định vị trí bắt đầu và kết thúc của bản IAT.
_Cuộn xuống tìm IAT End
_Túm lại ta có nhưsau:
IAT Start: 004990EC 77DD6BF0 ADVAPI32.RegCloseKey
IAT End : 00499D74 77124920 OLEAUT32.VariantInit
IAT Length: 00000C88
_Tốt quá gòi, Dump thui… Save với tên bất kỳ nhưng nhớ chọn giống
nhưhình dưới nha.
_ Thấy Packer này dễ quá cao hứng viết luôn cái Script
//==========================================
// FileName : hmimys-Packer 1.0 OEP Find Script
// Author : Why Not Bar
// WebSite :
//==========================================
STI //F7
FINDOP eip,#50C3# //Search "50 C3"
go $RESULT
sto //F8
sto //F8
cmt eip, "OEP! Found by Why Not Bar!"
MSG "Please dumped it and Fix IAT"
Ret
IV- Rebuild Import:
_ Mở ImportREC lên .Chọn trong list process hmimys-Packer.exe.
Điền OEP = 00401000 – 00400000 (Imagebase) = 00001000
RVA = 004990EC – 00400000 (Imagebase) = 000990EC
Size = 00000CC8 (IAT Length)
Nhấn IAT AutoSearch Get Imports Show Invalid
_hichic….rất nhiều hàm Invalid…Cut Thunks hết và trong cửa sổ
ImportREC chọn nhưsau:
_Nhấn Show Invalid lần nữa và ko còn hàm nào bị Invalid , Nhấn
Fix Dump chọn File Dumped.exe và Run thử File Dumped_.exe
_hehehe….Unpack Done!!!!!!!
GrEeTs Fly Out: Computer_Angel, Zombie, Moonbaby, Hacnho,
Benina, kienmanowar, Zoi, Deux, Merc, light phoenix,
Trickyboy, Takada, iamidiot, thienthandien, … and you!
Nha Trang, Ngày 31 tháng 8 năm 2006
Why Not Bar
Các file đính kèm theo tài liệu này:
Manual Unpacking hmimys-Packer 1.0.pdf
