Распаковка Aspack'a
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Распаковка Aspack'a - 2011-07-23 01:14:57.146666
|
|
|
Крутой 0ль !
Сообщений: 150
Оценки: 10
Присоединился: 2010-12-02 19:33:25.666666
|
сегодня буду повествовать распаковку , практически идентичному upx , упаковщика aspack .Используем тот же
джентельментский набор программ.
Это :
1.Отладчик - ollydbg (наконец то заработала нормально , проблема была такая , что вирус присобачивал dll , которая лежала c:\windows\system32 |навание длл генерица рандомно т.к в поисковиках данное название не светилось)
2.Инструмент снятия дампа - Peetols
3.Инструмент восстановления импорта - ImpReck
4.Упаковщик - Aspack
Давайте же снова скачаем упаковщик , название которого теперь Aspack .Может и отступлю от темы , но с детской непосредственностью скажу что он мне понравился отсутствием консольщины ;) Запаквали ?Проверили Peid'om что упаковка прошла успешно ?.Если да , то давайте приступим .Так же как и при распаковке упх'а , поднимаемся на 1 строчку вверх и ставим на неё Hardware Breakpoint , как это делать я надеюсь вы знаете . После того как мы поставили "бряк" , двойным ажатием F9 мы припускаем программу .Мы в нужном месте , находим примерно вот такой код : [push ******] retn. Эта последовательность команд равносильна [jmp ******].Давайте поподробнее :команда push заносит даные стек , в нашем случае это адрес , далее команда retn обращается к стеку и берёт из стека самое верхнее значение.Т.е оно возьмёт наш адрес , т.к между командой [push****] и [retn] никаких команд нету .Так вот , адрес , который заносится в стек командой push и есть наш OEP .Процесс сдампливания и восстановления импорта я хочу опустить , т.к он был описан статьёй ниже…Но хочу заметить такую особенность , что у меня например , при восстановления импорта в окошке валидности\невалидности функций , большея часть уходит в noy - невалид , это определяется тем , что imprec высчитывает не точный адрес начала таблицы импорта и из-за чего нам хотят впиндюрить 'левак'.Это решается простым их удалением , удаляем их так - выделяем каждую невалидную функцию и нажатием правой кнопки мыши выбираем Delete Thunk .
|
|
|
|
|
RE: Распаковка Aspack'a - 2011-07-26 12:32:24.990000
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
quote:
Так же как и при распаковке упх'а , поднимаемся на 1 строчку вверх и ставим на неё Hardware Breakpoint , как это делать я надеюсь вы знаете .
Следует указать, что на одну строку стека, а ни чего-то другого. И уточнить: храд-бряк на чтение.
На будущее. Данный бряк можно поставить через командную строку hr esp-4.
Пожелание. Необязательно, но желательно обратить внимание на русский язык и литературу.
|
|
|
|
|
RE: Распаковка Aspack'a - 2011-07-26 12:42:54.513333
|
|
|
Крутой 0ль !
Сообщений: 150
Оценки: 10
Присоединился: 2010-12-02 19:33:25.666666
|
внимание на русский язык
да да да , ведь егэ через два года сдавать ….
|
|
|
|
|
|
