Ir para conteúdo
Faça parte da equipe! (2024) ×
Conheça nossa Beta Zone! Novas áreas a caminho! ×

  • Quem está por aqui   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.

Apresentação ao UPX Unpacking

AceStryker

Por ,
em Outras linguagens

 Compartilhar

Posts Recomendados

AceStryker Novato

AceStryker 25

Postado
Postado

Primeiro de tudo precisamos dos seguintes arquivos:

 

-Todos os programas necessários e seus plugins

[DOWN]

É necessário se cadastrar para acessar o conteúdo.
[/DOWN]

[sCAN]

É necessário se cadastrar para acessar o conteúdo.
[/sCAN]

 

-Nosso programa exemplo.By Fergo.

[DOWN]

É necessário se cadastrar para acessar o conteúdo.
[/DOWN]

[sCAN]

É necessário se cadastrar para acessar o conteúdo.
[/sCAN]

 

Antes de começarmos a trabalhar precisamos saber como um packer funciona, então, eles simplesmente movem o EP(Chamaremos de OEP) para outro lugar e no criam sua função que encripta ou compacta o programa, e também bagunçam as funções do windows.

 

1)Abra o PEiD e veja que nosso programa realmente esta packed:

 

É necessário se cadastrar para acessar o conteúdo.

 

2)Debugge o nosso programa.Veja na primeira linha temos:

 

É necessário se cadastrar para acessar o conteúdo.

 

Esta linha é super comum em programas com o UPX, o UPX tem a mania de que sempre começa e termina com um PUSHAD.

Agora temos que achar quando o programa chama o OEP, para isso fique apertando F7 até que o ESP mude.

É necessário se cadastrar para acessar o conteúdo.

 

Agora clique em:

É necessário se cadastrar para acessar o conteúdo.

 

Agora vá no HEX dump e faça o que fiz:

É necessário se cadastrar para acessar o conteúdo.

 

Aperte F9 e quase na mesma hora o Olly te levará a este local

É necessário se cadastrar para acessar o conteúdo.

 

Não havia dito que o código sempre começa(004EA80) e termina(004EC06) com um PUSHAD?

Bom agora podemos perceber que em 0040EC14 temos um jump obrigatório, este é o nosso OEP(Original EntryPoint)!!!!

Abra em Plugins>OllyDump em EC07 e Dump, salve o arquivo.

O programa não funcionará agora pois suas bibliotecas ainda estão bagunçadas, então

Feche o Olly e abra o nosso programa e o ImportRec.

Selecione o processo do nosso programa de exemplo no ImportRec.

Em OEP você deve colocar nosso OEP, 00401190 subtraido de 400000 que será igual a 1190.Se tudo ocorreu corretamente o ImportREC te mandará uma mensagem assim:

É necessário se cadastrar para acessar o conteúdo.

 

Clique em GetImports e depois FixDump e selecione o nosso programa criado pelo OllyDump.

Se tudo der certo o programa criará um arquivo com o "_" no final siginificando que tudo deu certo.Abra nosso programa e veja a mensagem encorajadoura :)

 

Abra agora o PEiD e veja se o UPX ainda está la.

É necessário se cadastrar para acessar o conteúdo.

 

Créditos:

100% AceStryker.

ᅠᅠMural de Coleçõesᅠᅠ

Clique aqui e adquira suas medalhas
Link para o comentário
Compartilhar em outros sites
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos
×
×
  • Criar Novo...

Informação Importante

Nós fazemos uso de cookies no seu dispositivo para ajudar a tornar este site melhor. Você pode ajustar suas configurações de cookies , caso contrário, vamos supor que você está bem para continuar.

 Accept Cookies  Reject Cookies