Manual Unpacking

Manual Unpacking#2

Xa,Xa не предполагах че толкова скоро ще напрая и втория си Тут.Но ко а сепрай требва нещо да се измисли за Тът.Всъщтност този Тут трябваше да е за Asprotect,но се промениха нещата.Сега ще ънпакнем Stone's_PE-Encrypter v1.13.Нещо много по-лесно от Asprotect,но ви обещавам че ще стигнем и до Asprotect-a.

Тъка нека да започваме.....!

Първо няколко думи за този ънпакер.Много уважавам Coder-a Stone,но този път е направил лесен за унпакване пакер.Няма да ни се налойи никакво rebuild-ване na Import Table.

Тъка!Както знаете от миналия Тът ще са ни нужни:

Ollydbg
Procdump

Отваряте notepad.exe с Ollydbg и ще ви се появи съобщение да внимавате при слагането на Breakpoint-и,защото Entry Point-a е извън кода на програмата.Но това нас не ни бърка.Като се зареди notpad.exe в Ollydbg ще видите няколко push-a.Те съхраняват регистрите.Тези push-oве ролята на PUSHAD(което запазва всички пегистри).В този случай се запазват само push-натите регистри,които по-късно ще трябват за изпълнението на unpacking code-a.

След като има в началото push-ове,би трябвало да има и накрая на unpacking процеса.Следователно търсете за:

тази част от code-a се намира малко по надолу от началото.За улеснение аз съм слойил breakpoint na 0040D096.Това е JMP-a към Entry Point-a.Сложете и вие там breakpoint(с F2) и натиснете F9.Tъка ще се отзовете на този JMP.

Сега е време за dump-ване.

Отворете си Procdump-a и потърсете за нашия process notepad.exe.Дайте с дясното копче на process-a и мъ задъдете Dump(Full).И го save-вате някъде на Hard Diska си.

ААА!Пропуснах да жи кажа несто важно когато бяхте на Jmp-a към Entry Point-a .Вижте съдържанието на EAX.(Aто е 004010CC).Сега след като знаете Real Entry Point-a отидете в Procdump-PeEditor.Избирате exe-то,което бяхме dump-нали и променяте Entry Point-a му на 000010CC.Сега ще се запитате откъде пук 000010CC.Ами много е просто понеже нашия Entry Point e 004010CC,за да го превърнем в RVA( затова ще ви разказвам в някои друг Тuт).Сега просто извадете от нашия Entry Point Image Base-a(004010CC-00400000)Image Base-a можете да видите с помоща на Pe Editora на Procdump.Tой се намира под Entry Point-a.Няма как да не го видите.(За глупавите :Image Base:00400000):)

После дайте OK

Сега следва Rebuild-ването.Отворете нашето dumped.exe s Rebuild Pe(на Procdump)И го rebuild-нете.Следтова би трябвало да си вклучите най-спокойно новото exe с то трябва да работи!;PP

Greetings:Този път няма да поздравявам никои,защото не съм си научил за даскало;PP.Tъй че всеки кракер да се чувства поздравен ;PPP;]

Ae Хора до скоро!(А то ще е скоро)ама че ги дрънкам аве ае омитам се 4аооо!;)