quequero.org

Zak · Newbie Joined: 09 Feb 2005 Posts: 19

Ieri pom, per necessità, ho scoperto il vostro sito mi sono iscritto ed ho postato 2 domande. Sono ad un livello più basso della fogliolina che mi avete accreditato e quindi presto ho capito che le vostre risposte, pur sollecite e simpatiche, non mi potevano aiutare. Ho letto e stampato qualche vostro documento\tutorial ed ho cercato di capire il SoftIce, qualcosa di assembler etc...etc..
L'intenzione iniziale era quella di vedere come funzionava un noto sim. di vela che con la nuova release, ha bisogno di una patch che non esiste in rete ma visto che la cosa (il reversing) è seria ed appassionante e FATICOSA ho deciso che forse lo sforzo era da dedicare ad un target più importante. Ho preso un soft subacqueo decompressivo, costosissimo e senza crack sulla rete.
Dopo ore e con mille vostri appunti alla mano, fogli che cadevano e svolazzavano, appunti scritti ed appiccicati in ogni dove, sono riuscito a trovare il punto critico.
Metto un bel break point alla locazione 0043971C e quando ci arrivo al JNZ (che jumperebbe) faccio un bel r fl z e non jumpa più!
Levo tutti i break point (perchè infastidiscono l'eseguibile?) "bc *" e quindi il "RUN" (F5). Tutto ok, mi ringrazia, baci e abbracci. Mr. Green

Leggo ancora gli appunti, alcuni ormai macchiati dalla tazza di tè Embarassed

ed con un editor esadecimale cerco il punto dove cambiare JNZ in JZ ma il punto è introvabile. Bene il malefico è "paccato" (?) non so quale sia il termire.... devo metterlo in memoria e salvarlo ma erano le 2 del mattino, i "rings" il "pe" non c'ho capito più nulla!!
Devo usare ICEDUMP ma non trovo documenti a livello "abbì qualcosa" (ricordate Frankestin Jr.?) Laughing

, insomma sono fermo. Beh proprio fermo no, nei vari scarichi ho preso anche EXESCOPE ed ho modificano qualche icona, qualche scritta poco simpatica Laughing

Insomma ecco la domanda:
mi aiutate a fare questo dump, ricreare un exe umano?

Logicamente non mi metterò a vendere, ne divulgherò il mio exe, l'ambiente è piccolo e la gente mormora ed inoltre non è il mio lavoro.
Ho capito, sopratutto leggendo la sig.rina Queque, che c'è una certa filosofia, delle regole da rispettare spero cmq di ricevere da qualche Fogliolone un aiuto.

A presto...

Ntoskrnl · Intermediate Joined: 27 Sep 2003 Posts: 97

Il packer non pare un granché se ti fa usare indiscriminatamente softice, quindi il dump/rebuild dovrebbe esse semplice. Non ti serve per forza icedump basta che una volta arrivato all'original entry point o a un punto dopo esso (anche se l'OEP sarebbe la cosa migliore) tu fermi l'esecuzione del processo, puoi farlo tramite codice tuo oppure visto che ti trovi in sice puoi fare na cosa un po' rozza, cambi l'istro vicino all'OEP e metti un jmp a ciclo infinito in modo che non superi l'oep, chiudi sice e dumpi con un win32 dumper (ovviamente poi con un hex editor devi mette di nuovo a posto le istro vicine all'oep). Ad ogni modo vista la debolezza del packer è probabile che tu possa dumpare quando ti pare e piace, prendi un normale win32 dumper (wark, lordpe) e dumpa il processo in esecuzione. Dopodiché tocca fare il rebuilding, prendi un pe editor e sostituisci l'EP con l'OEP (che ovviamente dovrai aver scovato prima con softice), dopodiché dovresti guardare se la Import Table è intatta o distrutta. Nel primo caso dovresti aver finito. Altrimenti vedi cosa ti resta della IT, se hai tutti i FT puliti senza bridge, puoi tentare una ricostruzione offline (ovviamente ti servono come minimo gli import descriptor, casomai ti mancassero in genere li trovi nella IT dell'exe packato).

Bona

Zak · Newbie Joined: 09 Feb 2005 Posts: 19

Per ora ti ringrazio della risposta.
Più tardi cercherò anche di tradurla Laughing

Zero_G · Posted: Thu Feb 10, 2005 7:54 pm Post subject:

zak, a come ne parli, mi sembra che tu sia davanti ad un programma commerciale packato o comunque con una protezione che decodifica l'eseguibile in runtime e che quindi ti impedisce di fare patch dall'esterno.

traduzione: devi fare il manual unpacking. ti senti pronto per questo? Twisted Evil

se hai già seguito diversi tutorial di base e ti sei già fatto le ossa su vari schemi di protezione ed hai una certa dimestichezza con il PE, allora prego, accomodati...

per prima cosa, ti consiglio di cercare di capire con cosa hai a che fare: che tipo di protezione è? è un packer/crypter oppure è qualcosa tipo Securom, Starforce e compagnia bella? per questo ti consiglio di provare intanto PEiD (http://peid.has.it/) o Protection ID (http://www.cdmediaworld.com/hardware/cdrom/cd_utils_2.shtml) e vedere cosa salta fuori; sai, tante volte esce un packer di cui esiste un unpacker automatico, sei già a posto (sento innalzarsi cori tipo "LAMEROOOO!!" Laughing

).

altrimenti, è cmq probabile che sia un packer non troppo difficile, tipo ASPack, Petite, ecc... in questo caso, in giro (anche qui alla UIC ce ne sono) esistono tutorial per i packer più disparati che puoi seguire per avere un'idea del da farsi, tanto, indirizzo più indirizzo meno, è la filosofia che conta. Good & Evil

qui ad esempio c'è un sacco di materiale utile: http://tothesky.us/tut.htm

se poi ti va proprio male, vuol dire che hai davanti protezioni toste tipo Armadillo, X Protector, ed altre bestiacce del genere; come puoi vedere anche da solo, questo stesso forum pullula di post sull'argomento, quindi evidentemente non è un'affare semplice... devi conoscere veramente molto bene il PE, layer di crittaggio, mascheramento delle call, ecc...
nonstante ciò, qualcuno è riuscito lo stesso a friggere l'odioso animaletto corazzato, e sul sito che ti ho segnalato ci sono vari articoli, però non sono facili da seguire. Devastation

Procedura Generica di Manual Unpacking:

1) identifica la protezione e prova prima gli appositi unpacker; se ti va male o non riesci a capire cosa è, guarda le sezioni e gli offset con un pe editor e cerca di renderti conto se è davvero un packer. (mi raccomando, leggiti qualche tutorial sul pe, per l'unpacking è fondamentale!)

2) cerca l'OEP (ci sono tracer automatici tipo quello di PEiD oppure lo fai a mano con il debugger) sai cos'è l'OEP, vero?? Wink

il plugin ollyscript contiene vari script (appunto) che automatizzano questo processo nel caso di alcuni packer, quindi forse se ci dai un'occhiata ti può essere d'aiuto

3) metti un breakpoint sull'OEP e lanci il programma dall'interno del debugger (oopure il metodo più hard che ti ha detto NT)

4) appena è fermo lo dumpi dalla memoria (puoi usare ollydump, wark, pe tools, lordpe, quello che preferisci) ed ottieni un exe grezzo che di solito è completamente scazzato e non parte (se funziona alla prima, segnati su un foglio i primi 6 bytes dell'eseguibile e giocali all'enalotto, sono sicuro che vinci Neutral

)

5) usa un rebuilder (ImportReconstructor o Revirgin vanno bene) per ricostruire automaticamente la import table originale ed altre cosette che il tuo amico packer potrebbe aver gentilmente polverizzato (e ti assicuro che lo fanno spesso e volentieri...) di solito per questo processo hai bisogno dell'eseguibile packato, quindi cerca di averlo a portata di mano.

6) se ancora non funziona probabilmente devi fare ancora qualche ritocco "by hand" e risistemare gli offset in modo che PE header punti all'indirizzo giusto della nuova Import Table e che ci siano davvero tutte le call originali.
questo è effettivamente la parte più difficile, perché basta un byte fuori posto e ti saluto, quindi è importante fare attenzione a dove si mettono lo mani; fai conto di avere il bisturi in mano ed il programma a cuore aperto sul tavolo davanti a te. Tired

7) pregare Devastation

8 ) se l'operazione è andata a buon fine dovresti avere il tuo bell'eseguibile decrittato e funzionante. complimenti! Happy

studia bene il tuo nemico e poi colpiscilo nei punti deboli...
Knowledge is Power
spero di esserti stato d'aiuto con quest'infarinatura generale! Smile

per informazioni sui tools dai usare, leggi lo sticky post: http://www.quequero.org/forum/viewtopic.php?t=1340

-=Zero_G=-

PS: me la sono meritata la fogliolona verde? Angel

_________________
"To see a World in a grain of Sand,
Hold Infinity in palm of your Hand."

Zak · Newbie Joined: 09 Feb 2005 Posts: 19

Porcacciadiunamiserialadrasderenatasbomballata, certo che ti sei meritato la fogliolona verde!! Razz

Appena ho 3,4 orette mi rimetto al lavoro e seguo passo passo il tuo post, scarico e mi documento ed alla fine muovo le dita sulla tastiera. Se non dovessi riuscire ti scrivo, se non basta ti telefono anche la notte, se non basta ti spedisco l'istall e me lo unpakki tu Shocked

Scherzo, logicamente, ormai è diventata soltanto una questione di principio, dovesse mai funzionare l'exe non lo userei mai per pianificare un decompressione e quindi affidargli la mia vita, ora che ho potuto vederlo funzionare trovo sia veramente inaffidabile.
Bene ti ringrazio, farò tesoro della tua traccia.

E non ti fumà la fogliolona che il vicepresidentedelconsigliofinisincazza come una bertuccia!! Wink

Zero_G · Posted: Fri Feb 11, 2005 11:37 am Post subject:

cik0snack · Advanced Joined: 18 Aug 2002 Posts: 153 Location: cantina

Ntoskrnl · Intermediate Joined: 27 Sep 2003 Posts: 97

Zak · Newbie Joined: 09 Feb 2005 Posts: 19

Abyss 2.33
Immersione a 78mt. 20min mi da un RT di 120 min rispetto agli 82' del V-Planner ed i 90' di Pro-Planner!! Evil or Very Mad

pnluck · Guru Joined: 21 Apr 2004 Posts: 254 Location: Anywhere

Cmq zac prima di tutto xkè non utiliizziiiii peid peid.tk, per vedere ke paker è., poi casomai è uno semplice semplice tipo upx, aspack, o cazzatelle varie, ti trovi un automatick unpacker per la rete, cmq per gli unpackare devi consoscere le basi e sarebbero:
Un pe tute: http://pmode.impazz.it/tuts/pe.htm
Un tute x unpackare x newbie http://www.quequero.org/prj/newbies09/tn09.htm

E per favore LEGGETE LE LEZIONI X NEWBIE, zak queste lezioni ti insegnano le basi. qundi fatti un giro nel cervello per vedere se hai le basi giuste, ne no fatti i tute x mewbie, sennò leggiti quei due tute ke ti ho dato
Mr. Green

bender0 · Guru Joined: 18 Jan 2004 Posts: 390 Location: ~/

Zak · Newbie Joined: 09 Feb 2005 Posts: 19

bender0 · Guru Joined: 18 Jan 2004 Posts: 390 Location: ~/

mmmh... volevo solo capire a cosa serve questo prog ma non ci sono ancora riuscito Mr. Green

_________________
b0

Zak · Newbie Joined: 09 Feb 2005 Posts: 19

Zero_G · Posted: Sat Feb 12, 2005 3:30 am Post subject:

il programma che hai scaricato è questo? h**p://www.abysmal.com/web/products/demos/english.html

-=Zero_G=-
_________________
"To see a World in a grain of Sand,
Hold Infinity in palm of your Hand."

cik0snack · Advanced Joined: 18 Aug 2002 Posts: 153 Location: cantina

ahhh Zak 6 un bombarolo .... ehhh cioè un bombolaro!?!? Confused

nessun apneista fra noi?! Mr. Green

so che non c'entra una fava ma visto che si parla di sub approfitto per
sapere se tra qualche reverser si nasconde anche qualche apneista!

no eh?! Crying or Very sad

Quake2 · Moderator Joined: 22 Aug 2002 Posts: 165

io faccio 2 minuti e mezzo in apnea e faccio spesso immersioni in apnea (con le bombole mai perché non ho mai fatto nessun corso, e per ora ci tengo ancora un po' alla vita Smile

), però qualche estate fa ho avuto un piccolo problema tecnico (praticamente sono quasi affogato perché non so per quale motivo sono svenuto mentre stavo in apnea), quindi prima di ricominciare (dato che sono quasi 2 anni che non lo faccio) andrò a farmi qualche controllo sicuramente Smile

_________________
I Am The Dragon Of Blood

Ntoskrnl · Intermediate Joined: 27 Sep 2003 Posts: 97

ma fatte fa qualche controllo pischiatrico quake

Zak · Newbie Joined: 09 Feb 2005 Posts: 19

cik0snack · Advanced Joined: 18 Aug 2002 Posts: 153 Location: cantina

Zak hai finito di floodare il forum! Surprised

azzz non sapevo che fossi un esperto bombolaro! Confused

io ho preso il brevetto PADI Europe Open Water Diver a Sharm!
è inutile dirvi che è stata una esperienza fantastica vedere il reef... Mr. Green

solo che 5giorni di corso è un tantino troppo POCO Crying or Very sad

quando sono tornato in italia non potendo comprare gav fruste e cosuccie varie mi sono affidato ai miei polmoni......
e così ho conseguito il brevetto I° livello di Apnea rilasciato da Apnea-Academy Mr. Green

ora sono un apneista.... Mr. Green

è una sensazione meravigliosa trattenere il fiato e fare un tuffo nel blu profondo! mooooooolto meglio di usare le bombole!
ma questa è solo una mia opinione!
ma poi con le bombole E' VIETATO pescare! come farei senza la pesca subacquea!?!
Wink

i grandi apneisti come dici tu, NON IPERVENTILANO + già da un po' perchè l'iperventilazione (come hai giustamente sottolineato tu Zak) è veramente pericolosa..ora si parla di rilassamento, training autogeno e mentale e soprattutto respirazione diaframmatica Mr. Green

saluti

cik0snack (l'apneista)