:ivist:
in rispetto delle regole inserite da Ctrl_alt_canc, vediamo come eliminare la protezione applicata al suo bel programma Vodafuck
e lo faremo tutto manualmente, senza bisogno di unpacker giàpronti (se ce ne fossero)
procuriamoci il programma scaricandolo da
http://ctrlaltcanccorp.altervista.org/flatnuke-2.5.8.1/index.php?mod=Vodafuck
poi assicuriamoci di avere i seguenti tool
-OlllyDbg (poteva mancare?)
-RDG Packer Detector oppure PeID
-ImportRec
una volta scaricato analizziamolo con RDG Packer Detector
ci dice tElock 0.99
come sicuramente sapete tElcok 0.99 è un ottimo packer con diverse funzionalita' tra cui controlli CRC per verificare se ci sono alterazioni del file. Ma non solo il file fisico ma addirittura in memoria, pertanto non ci permette nemmeno di applicare brekpoint come vogliamo.
Ma noi lo elimineremo con estrema facilita'.
in questo tutorial non mi dilunghero' a descrivere dettagliatamente il funzionamento di tElock, che si sarebbe molto da dire (lo vedremo prossimamente)
Ora mi limitero' ad indicarvi la strada piu' rapida per eseguire l'unpacking del Vodafuck.
-Apriamo il vodafuck in olly
-prima di tutto sistemiamo le eccezioni nel modo adeguato a combattere questo packer
premete ALT+O
nella scheda Exception impostate come da immagine
premete OK
-Ora premiamo SHIFT+F9 per 20 volte!
in pratica bypasseremo tutte le eccezzioni ed arrivare al punto giusto
sarete qui su 447810
come da immagine piazzate un brekpoint su
ora premiamo SHIFT+F9 una sola volta, e saremo fermi all'offset 0044781B , ovvero dove abbiamo appena messo il bpx.
-Ora togliamo il brekpoint
-premiamo CTRL+F9 (per arrivare al primo RETN)
vi ritroverete qui
-premete F8 una sola volta per entrare nella funzione
a questo punto telock ha giàdecompresso molto del codice ma non è finita,
-premete tante volte fino ad arrivare al primo JMP dopo il POPAD, cioè
premiamolo per 29 volte, a questo punto sarete su
-ora premiamo una sola volta F8 per eseguire il jump sul quale siamo posizionati
TADAAANNNN ora siete nell'OEP!!! praticamente tutto è decompresso in memoria e pronto ad essere dumpato, poi non ci restera' che ricostruirlo con ImportRec
-bene effettuiamo il dump: da olly menu Plugins->Olly Dump->Dump debugged process
avrete anche voi questa schermata
-ricordatevi di togliere lo spunto da Rebuild import.
-annotiamo il valore del nuovo EP (1A989), premiamo [Dump] e salviamolo con il nome che ci pare io lo chiamo dump.exe
-ora SENZA chiudere olly apriamo ImportRec e selezioniamo il processo vodafuck.
- in OEP al posto dell'attuale valore inseriamo quello da noi trovato prima, cioè 1A989
- Premiamo [IAT AutoSearch]
- ImportRec dirà: Found Address which may be the Original IAT try 'Get Import'.....
-Premiamo [OK]
-Ora premiamo [Get Imports]
-appariranno le imports sistemate con un bel YES alla fine
-premiamo [Fix Dump]
-scegliamo il file dumpato prima (nel mio caso dump.exe)
-nel log leggeremo: C![:\](/forum/data/assets/smilies/mhhae.gif "Mhhae :\")
Downloads\Vodafuck\dump_.exe saved successfully.
- bene il gioco è fatto, chiudiamo ImportRec ed Olly
- testiamo il nostro nuovo file dump_.exe (doppio click) evvai si esegue
- provate a verificarlo con RDG e sta volta vi dira' che è fatto con Visual Basic e come packer Nada. E la dimensione sara' salita da 74.5 Kb agli originali 296 Kb
ora potete reversarlo ed eliminare la schermata iniziale dove chiede di premere i banner :tongue1: :tongue1: :tongue1:
Predator
in rispetto delle regole inserite da Ctrl_alt_canc, vediamo come eliminare la protezione applicata al suo bel programma Vodafuck
e lo faremo tutto manualmente, senza bisogno di unpacker giàpronti (se ce ne fossero)
procuriamoci il programma scaricandolo da
http://ctrlaltcanccorp.altervista.org/flatnuke-2.5.8.1/index.php?mod=Vodafuck
poi assicuriamoci di avere i seguenti tool
-OlllyDbg (poteva mancare?)
-RDG Packer Detector oppure PeID
-ImportRec
una volta scaricato analizziamolo con RDG Packer Detector
ci dice tElock 0.99
come sicuramente sapete tElcok 0.99 è un ottimo packer con diverse funzionalita' tra cui controlli CRC per verificare se ci sono alterazioni del file. Ma non solo il file fisico ma addirittura in memoria, pertanto non ci permette nemmeno di applicare brekpoint come vogliamo.
Ma noi lo elimineremo con estrema facilita'.
in questo tutorial non mi dilunghero' a descrivere dettagliatamente il funzionamento di tElock, che si sarebbe molto da dire (lo vedremo prossimamente)
Ora mi limitero' ad indicarvi la strada piu' rapida per eseguire l'unpacking del Vodafuck.
-Apriamo il vodafuck in olly
-prima di tutto sistemiamo le eccezioni nel modo adeguato a combattere questo packer
premete ALT+O
nella scheda Exception impostate come da immagine
premete OK
-Ora premiamo SHIFT+F9 per 20 volte!
in pratica bypasseremo tutte le eccezzioni ed arrivare al punto giusto
sarete qui su 447810
come da immagine piazzate un brekpoint su
Codice:
0044781B 61 POPAD-Ora togliamo il brekpoint
-premiamo CTRL+F9 (per arrivare al primo RETN)
vi ritroverete qui
Codice:
004478D4 C3 RETNa questo punto telock ha giàdecompresso molto del codice ma non è finita,
-premete tante volte fino ad arrivare al primo JMP dopo il POPAD, cioè
premiamolo per 29 volte, a questo punto sarete su
Codice:
004477B5 - FF6424 D0 JMP DWORD PTR SS:[ESP-30]TADAAANNNN ora siete nell'OEP!!! praticamente tutto è decompresso in memoria e pronto ad essere dumpato, poi non ci restera' che ricostruirlo con ImportRec
-bene effettuiamo il dump: da olly menu Plugins->Olly Dump->Dump debugged process
avrete anche voi questa schermata
-ricordatevi di togliere lo spunto da Rebuild import.
-annotiamo il valore del nuovo EP (1A989), premiamo [Dump] e salviamolo con il nome che ci pare io lo chiamo dump.exe
-ora SENZA chiudere olly apriamo ImportRec e selezioniamo il processo vodafuck.
- in OEP al posto dell'attuale valore inseriamo quello da noi trovato prima, cioè 1A989
- Premiamo [IAT AutoSearch]
- ImportRec dirà: Found Address which may be the Original IAT try 'Get Import'.....
-Premiamo [OK]
-Ora premiamo [Get Imports]
-appariranno le imports sistemate con un bel YES alla fine
-premiamo [Fix Dump]
-scegliamo il file dumpato prima (nel mio caso dump.exe)
-nel log leggeremo: C
Downloads\Vodafuck\dump_.exe saved successfully.- bene il gioco è fatto, chiudiamo ImportRec ed Olly
- testiamo il nostro nuovo file dump_.exe (doppio click) evvai si esegue
- provate a verificarlo con RDG e sta volta vi dira' che è fatto con Visual Basic e come packer Nada. E la dimensione sara' salita da 74.5 Kb agli originali 296 Kb
ora potete reversarlo ed eliminare la schermata iniziale dove chiede di premere i banner :tongue1: :tongue1: :tongue1:
Predator
scherzo ctrl, li clicco i banner li clicco^^
