Многие просили меня сделать распаковку самописного пакера/протектора/криптора, но найти что то интересное очень сложно. В этой статье я постараюсь описать распаковку программы под названием GeneratorRegedit которая служит для создания дампа реестра с настройками RMS.
Начнём как всегда с анализа поциента:
Как можно заметить - файл упакован. Загрузим его в OllyDBG:
Что то мне это напоминает, ну да ладно, продолжим исследование....
Теперь приступаем к поиску OEP, тут ничего сложного нет, просто жмём постоянно F8 пока не найдём нечто подобное:
Тут происходит распаковка файла, ничего интересного. Мотаем в самый низ и наблюдаем следующее:
Похоже, это переход на OEP, ставим бряк (F2) и жмём F9. Срабатывает бряк, жмём F8 и попадаем куда целились:
Не обращая внимания на мусор и другие непотребства делаем дамп при помощиплагина для ольки под названием OllyDump:
Файл прибавил в весе: 3,93 МБ
Что бы программа начала запускаться нужно пофиксить импорт, делается это при помощи ImpRec всего в пару кликов мыши, для этого:
1. Запускаем оригинальный exe (не распакованный)
2. Запускаем ImpRec
3. В ImpRec выбираем оригинальный процесс
4. Вводим найденное OEP в соответствующее поле
5. Нажимаем кнопку IAT AutoSearch, появится:
6. Нажимаем GetImports:
7. Жмём "Fix Dump" и выбираем наш дамп.
Если всё сделали правильно - после данных танцев с бубном программа должна запуститься. IDR спокойно загрузил распакованный exe и начал анализ:
PEiD так же говорит что всё ок. На этом распаковка закончена!
Скачать оригинал и распакованный файл можно тут: MEGA
Начнём как всегда с анализа поциента:
Как можно заметить - файл упакован. Загрузим его в OllyDBG:
Что то мне это напоминает, ну да ладно, продолжим исследование....
Теперь приступаем к поиску OEP, тут ничего сложного нет, просто жмём постоянно F8 пока не найдём нечто подобное:
Тут происходит распаковка файла, ничего интересного. Мотаем в самый низ и наблюдаем следующее:
Похоже, это переход на OEP, ставим бряк (F2) и жмём F9. Срабатывает бряк, жмём F8 и попадаем куда целились:
Не обращая внимания на мусор и другие непотребства делаем дамп при помощиплагина для ольки под названием OllyDump:
Файл прибавил в весе: 3,93 МБ
Что бы программа начала запускаться нужно пофиксить импорт, делается это при помощи ImpRec всего в пару кликов мыши, для этого:
1. Запускаем оригинальный exe (не распакованный)
2. Запускаем ImpRec
3. В ImpRec выбираем оригинальный процесс
4. Вводим найденное OEP в соответствующее поле
5. Нажимаем кнопку IAT AutoSearch, появится:
6. Нажимаем GetImports:
7. Жмём "Fix Dump" и выбираем наш дамп.
Если всё сделали правильно - после данных танцев с бубном программа должна запуститься. IDR спокойно загрузил распакованный exe и начал анализ:
PEiD так же говорит что всё ок. На этом распаковка закончена!
Скачать оригинал и распакованный файл можно тут: MEGA
© VANS
Этот комментарий был удален автором.
ОтветитьУдалитьЯ знаю, по точке входа это сразу видно. Но тут автор секции переименовал и многие сходу не определят упаковщик.
УдалитьЭтот комментарий был удален автором.
Удалить