Unpacking EXEcryptor 2.3x
Introduction:
Sau khi hoàn thành TUT “Unpacking & Cracking RAR Repair Tool 3.0”
em tính là nghĩ xả hơi Nhưng thật ko ngờ, nhiều anh em trong và ngoài
nước tâm huyết với Packer này đã nhắn tin và Email cho em rất nhiều nhưng
tựu chung đều có nội dung sau: ” Phương pháp của bạn rất hay nhưng nếu
OEPfinder vX.Y.Z by deroko ko làm việc thì làm sao thực hiện nhưTUT ”. Câu
hỏi rất hay và cũng vô tình chạm vào chỗ nhột của em hehe vì em cũng
đau bít sao chòi. Đùa thui, Method đó chỉ áp dụng cho EXEcryptor 2.2x mà
thôi, còn đối với EXEcryptor 2.3x thì cần 1 cách khác Cách làm nhưthế nào
thì chịu khó xem tiếp sẽ rõ
II. Tools:
Tool và các Plugin cần dùng: OLLYDBG_Execryptor 1.10 PROTECTiON iD v5.1e Task Explorer I ODbgScript 1.48 ImportREC 1.6f RDG Packer Detector v0.6.4
15 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 2599 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Unpacking EXEcryptor 2.3x, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Unpacking EXEcryptor 2.3x Why Not Bar
I. Introduction:
Sau khi hoàn thành TUT “Unpacking & Cracking RAR Repair Tool 3.0”
em tính là nghĩ xả hơi…Nhưng thật ko ngờ, nhiều anh em trong và ngoài
nước tâm huyết với Packer này đã nhắn tin và Email cho em rất nhiều nhưng
tựu chung đều có nội dung sau: ” Phương pháp của bạn rất hay nhưng nếu
OEPfinder vX.Y.Z by deroko ko làm việc thì làm sao thực hiện nhưTUT ”. Câu
hỏi rất hay và cũng vô tình chạm vào chỗ nhột của em…hehe…vì em cũng
đau bít sao chòi. Đùa thui, Method đó chỉ áp dụng cho EXEcryptor 2.2x mà
thôi, còn đối với EXEcryptor 2.3x thì cần 1 cách khác…Cách làm nhưthế nào
thì chịu khó xem tiếp sẽ rõ…..
II. Tools:
Tool và các Plugin cần dùng:
OLLYDBG_Execryptor 1.10
PROTECTiON iD v5.1e
Task Explorer I
ODbgScript 1.48
ImportREC 1.6f
RDG Packer Detector v0.6.4
Unpacking EXEcryptor 2.3x Why Not Bar
CFF Explorer V
Script: “Execryptor 2.x IAT rebuilder” by KaGra v1.1.
Target: Golden FTP Server Pro v2.80
Homepage:
III. Unpacking:
_Một việc làm quen thuộc dùng RDG Packer Detector v0.6.4 Detect Target
Unpacking EXEcryptor 2.3x Why Not Bar
_Nếu dùng OEPfinder vX.Y.Z by deroko cho Target này ko được…Vì rất đơn
giản nó được Pack bằng EXEcryptor 2.3x. Chắc có nhiều anh chai hỏi sao
em biết…hehe…cũng chẳng có gì cao siêu em dùng PROTECTiON iD v5.1e
và sẽ cho kết quả sau:
_kết quả này cũng chính là câu trả lời tại sao OEPfinder ko làm việc. Và
theo em biết thì Deroko sẽ ko Update tools này nữa….Vì vậy chúng ta phải
chơi bằng tay thui. Mở OllyDBG_EXEcryptor, nhấn Alt+O và cấu hình như
Unpacking EXEcryptor 2.3x Why Not Bar
sau:
Unpacking EXEcryptor 2.3x Why Not Bar
_Load Target vào OllyDBG_EXEcryptor và bạn sẽ dừng ở đây:
_Tiếp theo anh em mình phải SET từa lưa các Breakpoint thì mới cho Soft
Run hoàn toàn trên Memory mà ko bị Crash. Tính em nói lười nên dùng
Script “Bypass AntiDBG”
data:
var hInstance
var codeseg
var vmseg
var ep
var oep
var temp
code:
gpa "VirtualFree","kernel32.dll"
bphws $RESULT,"x"
run
bphwc $RESULT
rtu
gmi eip,MODULEBASE
mov hInstance,$RESULT
mov temp,$RESULT
add temp,3c
mov temp,[temp]
add temp,hInstance
add temp,28
mov temp,[temp]
add temp,hInstance
bc temp
mov ep,temp
Unpacking EXEcryptor 2.3x Why Not Bar
gmemi eip,MEMORYBASE
mov codeseg,$RESULT
find $RESULT,#2ECC9D#
mov [$RESULT],#2ECC90#
gpa "EnumWindows","user32.dll"
mov [$RESULT],#8BC09C85C09D0578563412C20800#
gpa "CreateThread","kernel32.dll"
find $RESULT,#FF7518#
mov [$RESULT],#6A0490#
gpa "ZwCreateThread","ntdll.dll"
bp $RESULT
loop1:
run
cmp eip,$RESULT
jne loop1
bc $RESULT
bp ep
loop2:
run
cmp eip,ep
jne loop2
bc ep
mov temp,codeseg
sub temp,1
gmemi temp,MEMORYBASE
mov vmseg,$RESULT
gmemi temp,MEMORYSIZE
bprm vmseg,$RESULT
run
bpmc
mov oep,eax
sti
bprm oep,1
loop3:
run
cmp eip,oep
jne loop3
Unpacking EXEcryptor 2.3x Why Not Bar
bpmc
ret
_Run Script một lát sẽ xuất hiện thông báo này
_Nhấn OK, Shift F9 cho đến khi tới đây:
_Nhấn Shift+F9 Soft sẽ run hoàn toàn
Unpacking EXEcryptor 2.3x Why Not Bar
_Giống nhưTut trước các bạn cần Dump File và dùng RDG Packer Detector
v0.6.4 scan để xác định Soft được Code bằng gì? Việc này giúp chúng ta tìm
OEP cho target này.
Unpacking EXEcryptor 2.3x Why Not Bar
_Giờ cần tìm Soft nào được code bằng Borland C++ 1999. Em xin giới
thiệu 1 soft mà trong máy tính nào cũng có là Winrar 3.6
Unpacking EXEcryptor 2.3x Why Not Bar
_Load Winrar vào OllyDBG
_1điều khá hay là các soft được Code bằng Borland C++ 1999 đều
Entrypoint là 1000. Điều này có thể suy ra OEP của GFTPpro cũng là
1000. Nhưdạy là soft này ko có Stolen bytes…đỡ mệt….giờ tìm vị trí bắt
đầu và kết thúc của IAT
Unpacking EXEcryptor 2.3x Why Not Bar
_Cuộn xuống phía dưới ta có được IAT End
_Nhấn Ctrl+F2 và Chạy Script “Bypass AntiDBG”, nhấn Shift+F9 cho đến
khi dừng ở đây
_Yeah, nhấn Ctrl+G nhập vào 401000 và Chọn nhưhình
Unpacking EXEcryptor 2.3x Why Not Bar
_Giờ chạy Script ” Execryptor 2.x IAT rebuilder” để Fix IAT nhưng nhớ
Edit lại nhưsau
_Ok, giờ Run Script và đợi chạy xong ta sẽ có được bản IAT Full
_Dumped Full thêm lần nữa và mở ImportRECđiền các thông số
Unpacking EXEcryptor 2.3x Why Not Bar
Ko có hàm nào Invalid nên Fix Dump nhưbình thường, Run thử
GFTPpro_Dumped_.exe…..khửa khửa…chạy nhưngựa…Unpacked
successfull !!!!
IV. Cracking:
_Tính Crack thấy dòng này sợ quá…..Em nào có phải là Cracker nên đành
nhường cho mấy Bro….
Unpacking EXEcryptor 2.3x Why Not Bar
_Dùng DeDe là ló hàng hết….mấy đại ca từ từ mà xử…”Em ko nghe, em ko
thấy, em ko bít những gì anh em đang Crack…”
_Byebye….hẹn anh em trong Tut khác
Unpacking EXEcryptor 2.3x Why Not Bar
GrEeTs Fly Out: Computer_Angel, Zombie, Moonbaby, Hacnho, Benina,
kienmanowar, Zoi, Deux, Merc, light phoenix, Trickyboy, Takada, iamidiot,
thienthandien, … and you!
Nha Trang, Ngày 25 tháng 8 năm 2006
Why Not Bar
Các file đính kèm theo tài liệu này:
- Unpacking EXEcryptor 2.3x.pdf