Unpacking EXEcryptor 2.3x

Introduction: Sau khi hoàn thành TUT “Unpacking & Cracking RAR Repair Tool 3.0” em tính là nghĩ xả hơi Nhưng thật ko ngờ, nhiều anh em trong và ngoài nước tâm huyết với Packer này đã nhắn tin và Email cho em rất nhiều nhưng tựu chung đều có nội dung sau: ” Phương pháp của bạn rất hay nhưng nếu OEPfinder vX.Y.Z by deroko ko làm việc thì làm sao thực hiện nhưTUT ”. Câu hỏi rất hay và cũng vô tình chạm vào chỗ nhột của em hehe vì em cũng đau bít sao chòi. Đùa thui, Method đó chỉ áp dụng cho EXEcryptor 2.2x mà thôi, còn đối với EXEcryptor 2.3x thì cần 1 cách khác Cách làm nhưthế nào thì chịu khó xem tiếp sẽ rõ II. Tools: Tool và các Plugin cần dùng: OLLYDBG_Execryptor 1.10 PROTECTiON iD v5.1e Task Explorer I ODbgScript 1.48 ImportREC 1.6f RDG Packer Detector v0.6.4

pdf15 trang | Chia sẻ: tlsuongmuoi | Lượt xem: 2599 | Lượt tải: 0download
Bạn đang xem nội dung tài liệu Unpacking EXEcryptor 2.3x, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Unpacking EXEcryptor 2.3x Why Not Bar I. Introduction: Sau khi hoàn thành TUT “Unpacking & Cracking RAR Repair Tool 3.0” em tính là nghĩ xả hơi…Nhưng thật ko ngờ, nhiều anh em trong và ngoài nước tâm huyết với Packer này đã nhắn tin và Email cho em rất nhiều nhưng tựu chung đều có nội dung sau: ” Phương pháp của bạn rất hay nhưng nếu OEPfinder vX.Y.Z by deroko ko làm việc thì làm sao thực hiện nhưTUT ”. Câu hỏi rất hay và cũng vô tình chạm vào chỗ nhột của em…hehe…vì em cũng đau bít sao chòi. Đùa thui, Method đó chỉ áp dụng cho EXEcryptor 2.2x mà thôi, còn đối với EXEcryptor 2.3x thì cần 1 cách khác…Cách làm nhưthế nào thì chịu khó xem tiếp sẽ rõ….. II. Tools:  Tool và các Plugin cần dùng:  OLLYDBG_Execryptor 1.10  PROTECTiON iD v5.1e  Task Explorer I  ODbgScript 1.48  ImportREC 1.6f  RDG Packer Detector v0.6.4 Unpacking EXEcryptor 2.3x Why Not Bar  CFF Explorer V  Script: “Execryptor 2.x IAT rebuilder” by KaGra v1.1.  Target: Golden FTP Server Pro v2.80  Homepage: III. Unpacking: _Một việc làm quen thuộc dùng RDG Packer Detector v0.6.4 Detect Target Unpacking EXEcryptor 2.3x Why Not Bar _Nếu dùng OEPfinder vX.Y.Z by deroko cho Target này ko được…Vì rất đơn giản nó được Pack bằng EXEcryptor 2.3x. Chắc có nhiều anh chai hỏi sao em biết…hehe…cũng chẳng có gì cao siêu em dùng PROTECTiON iD v5.1e và sẽ cho kết quả sau: _kết quả này cũng chính là câu trả lời tại sao OEPfinder ko làm việc. Và theo em biết thì Deroko sẽ ko Update tools này nữa….Vì vậy chúng ta phải chơi bằng tay thui. Mở OllyDBG_EXEcryptor, nhấn Alt+O và cấu hình như Unpacking EXEcryptor 2.3x Why Not Bar sau: Unpacking EXEcryptor 2.3x Why Not Bar _Load Target vào OllyDBG_EXEcryptor và bạn sẽ dừng ở đây: _Tiếp theo anh em mình phải SET từa lưa các Breakpoint thì mới cho Soft Run hoàn toàn trên Memory mà ko bị Crash. Tính em nói lười nên dùng Script “Bypass AntiDBG” data: var hInstance var codeseg var vmseg var ep var oep var temp code: gpa "VirtualFree","kernel32.dll" bphws $RESULT,"x" run bphwc $RESULT rtu gmi eip,MODULEBASE mov hInstance,$RESULT mov temp,$RESULT add temp,3c mov temp,[temp] add temp,hInstance add temp,28 mov temp,[temp] add temp,hInstance bc temp mov ep,temp Unpacking EXEcryptor 2.3x Why Not Bar gmemi eip,MEMORYBASE mov codeseg,$RESULT find $RESULT,#2ECC9D# mov [$RESULT],#2ECC90# gpa "EnumWindows","user32.dll" mov [$RESULT],#8BC09C85C09D0578563412C20800# gpa "CreateThread","kernel32.dll" find $RESULT,#FF7518# mov [$RESULT],#6A0490# gpa "ZwCreateThread","ntdll.dll" bp $RESULT loop1: run cmp eip,$RESULT jne loop1 bc $RESULT bp ep loop2: run cmp eip,ep jne loop2 bc ep mov temp,codeseg sub temp,1 gmemi temp,MEMORYBASE mov vmseg,$RESULT gmemi temp,MEMORYSIZE bprm vmseg,$RESULT run bpmc mov oep,eax sti bprm oep,1 loop3: run cmp eip,oep jne loop3 Unpacking EXEcryptor 2.3x Why Not Bar bpmc ret _Run Script một lát sẽ xuất hiện thông báo này _Nhấn OK, Shift F9 cho đến khi tới đây: _Nhấn Shift+F9 Soft sẽ run hoàn toàn Unpacking EXEcryptor 2.3x Why Not Bar _Giống nhưTut trước các bạn cần Dump File và dùng RDG Packer Detector v0.6.4 scan để xác định Soft được Code bằng gì? Việc này giúp chúng ta tìm OEP cho target này. Unpacking EXEcryptor 2.3x Why Not Bar _Giờ cần tìm Soft nào được code bằng Borland C++ 1999. Em xin giới thiệu 1 soft mà trong máy tính nào cũng có là Winrar 3.6 Unpacking EXEcryptor 2.3x Why Not Bar _Load Winrar vào OllyDBG _1điều khá hay là các soft được Code bằng Borland C++ 1999 đều Entrypoint là 1000. Điều này có thể suy ra OEP của GFTPpro cũng là 1000. Nhưdạy là soft này ko có Stolen bytes…đỡ mệt….giờ tìm vị trí bắt đầu và kết thúc của IAT Unpacking EXEcryptor 2.3x Why Not Bar _Cuộn xuống phía dưới ta có được IAT End _Nhấn Ctrl+F2 và Chạy Script “Bypass AntiDBG”, nhấn Shift+F9 cho đến khi dừng ở đây _Yeah, nhấn Ctrl+G nhập vào 401000 và Chọn nhưhình Unpacking EXEcryptor 2.3x Why Not Bar _Giờ chạy Script ” Execryptor 2.x IAT rebuilder” để Fix IAT nhưng nhớ Edit lại nhưsau _Ok, giờ Run Script và đợi chạy xong ta sẽ có được bản IAT Full _Dumped Full thêm lần nữa và mở ImportRECđiền các thông số Unpacking EXEcryptor 2.3x Why Not Bar Ko có hàm nào Invalid nên Fix Dump nhưbình thường, Run thử GFTPpro_Dumped_.exe…..khửa khửa…chạy nhưngựa…Unpacked successfull !!!! IV. Cracking: _Tính Crack thấy dòng này sợ quá…..Em nào có phải là Cracker nên đành nhường cho mấy Bro…. Unpacking EXEcryptor 2.3x Why Not Bar _Dùng DeDe là ló hàng hết….mấy đại ca từ từ mà xử…”Em ko nghe, em ko thấy, em ko bít những gì anh em đang Crack…” _Byebye….hẹn anh em trong Tut khác Unpacking EXEcryptor 2.3x Why Not Bar GrEeTs Fly Out: Computer_Angel, Zombie, Moonbaby, Hacnho, Benina, kienmanowar, Zoi, Deux, Merc, light phoenix, Trickyboy, Takada, iamidiot, thienthandien, … and you! Nha Trang, Ngày 25 tháng 8 năm 2006 Why Not Bar

Các file đính kèm theo tài liệu này:

  • pdfUnpacking EXEcryptor 2.3x.pdf
Tài liệu liên quan