h27
07-01-2007, 06:37 PM
سلام
كسي روي decrypt با اين شيوه كار كرده
من طبق روش گفته شده در اينجا
http://woodmann.com/krobar/other/com41.html
رفتم البته با olly و به نتيجه نرسيدم
البته به درست انجام دادنش شك دارم
اگه كسي تجربه داره كمك و راهنمايي كنه
خود برنامه با upx پك شده بود كه دستي آنپك كردم
حالا اين جوري هست
0040132A -FF25 1CD15D00 JMP DWORD PTR DS:[<&msvbvm60.#321>] ; msvbvm60.SetMemEvent
00401330 -FF25 04D15D00 JMP DWORD PTR DS:[<&msvbvm60.#100>] ; msvbvm60.ThunRTMain
00401336 0000 ADD BYTE PTR DS:[EAX],AL
00401338 > 68 50144000 PUSH dumped_.00401450
0040133D E8 EEFFFFFF CALL <JMP.&msvbvm60.#100>
00401342 0000 ADD BYTE PTR DS:[EAX],AL
00401344 0000 ADD BYTE PTR DS:[EAX],AL
00401346 0000 ADD BYTE PTR DS:[EAX],AL
00401348 3000 XOR BYTE PTR DS:[EAX],AL
0040134A 0000 ADD BYTE PTR DS:[EAX],AL
0040134C 58 POP EAX
جامپ CALL <JMP.&msvbvm60.#100> به قسمت قرمز شده يا همون ThunRTMain است
و اين در آدرس 401450
00401450 56 42 35 21 1C 23 2A 00 00 00 00 00 00 00 00 00 VB5!#*.........
00401460 00 00 00 00 7E 00 00 00 00 00 00 00 00 00 00 00 ....~...........
00401470 00 00 0A 00 09 04 00 00 00 00 00 00 28 05 41 00 ...........(A.
00401480 48 21 40 00 BF FD B8 01 00 FF FF FF 08 00 00 00 H!@.¿ý¸.ÿÿÿ...
00401490 01 00 00 00 23 00 03 00 E9 00 00 00 98 2F 41 00 ...#..é...˜/A.
004014A0 08 3E 40 00 44 13 40 00 78 00 00 00 83 00 00 00 >@.D@.x...ƒ...
004014B0 A3 00 00 00 B2 00 00 00 00 00 00 00 00 00 00 00 £...²...........
پس به نظر من entrypoint توي 401344 هست
البته فقط يك حدسه
لگه كسي كار كرده مي تونه بگه آيا با olly ميشه
اگه مي شه من بايد چه كار كنم (لطفا گام به گام)
يا حداقل يك مرجع خوب معرفي كنين
ممنون مي شم اگه راهنمايي كنين و لطفا زير ديپلم باشه
من كه نفهميدم
ببين اينجا چي گفته
Now we want to break into the program somewhere around there. Creating a int3 is my choice and is flawless providing you use it correctly.
For those interested in know just how much data is encrypted here its from 409A9C to 409E9F.
Now the code around the entry point is going to be decrypted so placing a int3 there wont do anygood. Just above the entry point we see the import for ThunRTMain which is a VB function used often, specialy at the very start of a program. This will be the first DLL called apon so lets set teh int3 there.
اين فايل من اول با upx پك شده بود كه آنپك كردم
حالا به نظر من رمز هم شده
چون نه دستور هاش درست هست
نه مي تونه resource ها رو پيدا كنه
پس يه چيزيش هست
خود برنامه آنپك شده كار مي كنه ها
وقتي با olly باز مي شه مي گه
http://i11.tinypic.com/4r2cbol.jpg
تازه پايين هم مي نويسه trace sfx اين يعني هنوز يك مشكلي وجود داره نه؟
من مي خواستم بگم اگه مي شه
لطفا بيشتر توضيح بدين
منونم
كسي روي decrypt با اين شيوه كار كرده
من طبق روش گفته شده در اينجا
http://woodmann.com/krobar/other/com41.html
رفتم البته با olly و به نتيجه نرسيدم
البته به درست انجام دادنش شك دارم
اگه كسي تجربه داره كمك و راهنمايي كنه
خود برنامه با upx پك شده بود كه دستي آنپك كردم
حالا اين جوري هست
0040132A -FF25 1CD15D00 JMP DWORD PTR DS:[<&msvbvm60.#321>] ; msvbvm60.SetMemEvent
00401330 -FF25 04D15D00 JMP DWORD PTR DS:[<&msvbvm60.#100>] ; msvbvm60.ThunRTMain
00401336 0000 ADD BYTE PTR DS:[EAX],AL
00401338 > 68 50144000 PUSH dumped_.00401450
0040133D E8 EEFFFFFF CALL <JMP.&msvbvm60.#100>
00401342 0000 ADD BYTE PTR DS:[EAX],AL
00401344 0000 ADD BYTE PTR DS:[EAX],AL
00401346 0000 ADD BYTE PTR DS:[EAX],AL
00401348 3000 XOR BYTE PTR DS:[EAX],AL
0040134A 0000 ADD BYTE PTR DS:[EAX],AL
0040134C 58 POP EAX
جامپ CALL <JMP.&msvbvm60.#100> به قسمت قرمز شده يا همون ThunRTMain است
و اين در آدرس 401450
00401450 56 42 35 21 1C 23 2A 00 00 00 00 00 00 00 00 00 VB5!#*.........
00401460 00 00 00 00 7E 00 00 00 00 00 00 00 00 00 00 00 ....~...........
00401470 00 00 0A 00 09 04 00 00 00 00 00 00 28 05 41 00 ...........(A.
00401480 48 21 40 00 BF FD B8 01 00 FF FF FF 08 00 00 00 H!@.¿ý¸.ÿÿÿ...
00401490 01 00 00 00 23 00 03 00 E9 00 00 00 98 2F 41 00 ...#..é...˜/A.
004014A0 08 3E 40 00 44 13 40 00 78 00 00 00 83 00 00 00 >@.D@.x...ƒ...
004014B0 A3 00 00 00 B2 00 00 00 00 00 00 00 00 00 00 00 £...²...........
پس به نظر من entrypoint توي 401344 هست
البته فقط يك حدسه
لگه كسي كار كرده مي تونه بگه آيا با olly ميشه
اگه مي شه من بايد چه كار كنم (لطفا گام به گام)
يا حداقل يك مرجع خوب معرفي كنين
ممنون مي شم اگه راهنمايي كنين و لطفا زير ديپلم باشه
من كه نفهميدم
ببين اينجا چي گفته
Now we want to break into the program somewhere around there. Creating a int3 is my choice and is flawless providing you use it correctly.
For those interested in know just how much data is encrypted here its from 409A9C to 409E9F.
Now the code around the entry point is going to be decrypted so placing a int3 there wont do anygood. Just above the entry point we see the import for ThunRTMain which is a VB function used often, specialy at the very start of a program. This will be the first DLL called apon so lets set teh int3 there.
اين فايل من اول با upx پك شده بود كه آنپك كردم
حالا به نظر من رمز هم شده
چون نه دستور هاش درست هست
نه مي تونه resource ها رو پيدا كنه
پس يه چيزيش هست
خود برنامه آنپك شده كار مي كنه ها
وقتي با olly باز مي شه مي گه
http://i11.tinypic.com/4r2cbol.jpg
تازه پايين هم مي نويسه trace sfx اين يعني هنوز يك مشكلي وجود داره نه؟
من مي خواستم بگم اگه مي شه
لطفا بيشتر توضيح بدين
منونم