Programmi criptati
con olly |
||
Data |
by "Pnluck" |
|
10/06/2004 |
Published by Quequero |
|
|
Grazie mille di nuovo pn, ma come fai ad essere sempre cosi sintetico? :)))) Mica si pagano le pagine in html ;p |
Buona la nutella |
.... |
E-mail:
[email protected] Pnluck,#crack-it,#insidenet |
.... |
Difficolt� |
(X)NewBies (X)Intermedio ( )Avanzato ( )Master |
|
UPX
& Nutella
con OllyDump
Written by Pnluck
Introduzione |
Reversiamo un programma criptato utilizando OllyDump
Tools usati |
URL o FTP del programma |
Nutella CrackMe (scaricabile dalla sezione CrackMe)
Notizie sul programma |
Un
crackme compresso con Upx
(un pacchettatore con licenza GNU).
OllyDump � un plug-in
creato x Ollydbg da GigaPede,
� un utility che serve ad arrivare al
OriginalEntryPoint di un prg
criptato o compresso, OllyDump
funzione dove la funzione x SFX di Ollydbg non riesce
(almeno dove l'ho provato io) :)
Essay |
In
questo tute vi
spiego come usare OllyDump e come sia utilizzare quest�ultimo con prg compressi,
in questo caso utilizeremo il crackme
Nutella fatto da Active,
che � stato compresso con UPX.
Prima di tutto downloadate OllyDump
incollatelo nella cartella dove c�� l�Ollydbg e
copiate Il crackme compresso con UPX dove volete :).
Ora avviate il crackme e vedrete che il prg ha l�Original EntryPoint fuori dal prg, quindi
il prg � criptato o compresso,
proviamo la funzione SFX di Ollydbg, ma vediamo
che questa non funge, allora proviamo con OllyDump,
clickiamo su plug-in,
poi su OllyDump e clikiamo
su � Find OEP by Section Hop(trace over)�, che serve
a trovare l' "Original Enty
Point", del programma. Dopo averci clikkato sopra nella barra gi� in basso a destra esce scritto�Tracing�,e
dopo un po� entreremo nell�entrypoint del prg,
esattamente ad
Nel men� a tendina dove c'� OllyDump le voci �Find
OEP by Section Hop(trace into)� e � Find OEP by Section
Hop(trace over)�, servono entrabbe
a trovare L' Original Entry Point del prg, solo che il trace into � molto + sicuro
rispetto al trace over, xk�
pu� capitare che il jmp o ret
che il prg criptatore mette
x tornare al prg de-criptato possa essere all'interno
di una call.
Sempre dal men� a tendina la voce "Dump
debugged process",
porta ad un'altra finestra che ha le seguenti caratteristiche:
Start Address
(Image Base): � il valore in cui inizia la mappatura
del file in memoria.Nei file exe � sempre 40000.
Size (Size of Image): � la grandezza del file mappato in memoria.
Entry Point
-> Modify: � il punto d�entrata
del prg cio� da dove iniza l�esecuzione del prg, il
quale viene modificata dopo che abbiamo trovato l�Entry Point
original.
Base of Code: � dove
inizia la sezione di codice del prg eseguibile.
Base of Data: � la
grandezza della sezione del codice.
Get EIP as OEP:
EIPcontiene l'indirizzo della prossima instruzione,e questo pulsate
imposta Eip come L'Original
Entry Point
Fix Raw Size
& Offset of Dump Image:
monta automaticamente
Raw Size:grandezza sezioni occupate nel
disco.
Raw Offset:Indirizzo fisico dal qual � mappata la sezione del file.
Rebild Import: spiegato proprio semplicemeeeeeeeente, ricostruisce la sezione Ip (Import Table) che contiene tutte le api che servono al
prg.
Dump: non fa altro che salvare il file exe appena modificato.
Poi per
risolvere il crackme trovate la mia guida fatta con Xtremer nella UIC
Pnluck
Note finali |
Credo di aver spiegato
come funziona qquesto utile plug-in
e quindi,ringrazio i ragazzi della uic
e di insident, ma uno spial
thx a Quake ke a furia di domande gli ho rotto le palle,ad Andre che � sempre presente in Irc,
ad "ironspek" x i suoi consigli "spekiali", Brnocrist,marella,Xtremer,FIgar� e tutti gli altri che mi hanno aiutato.
PS: thx anche a Q x aver creato....
Cosa? ¬__¬ NdQ
Disclaimer |
Qui inserirete con questo carattere il vostro piccolo disclaimer, non � obbligatorio per� � meglio per voi se c'�. Dovete scrivere qualcosa di simile a: vorrei ricordare che il software va comprato e non rubato, dovete registrare il vostro prodotto dopo il periodo di valutazione. Non mi ritengo responsabile per eventuali danni causati al vostro computer determinati dall'uso improprio di questo tutorial. Questo documento � stato scritto per invogliare il consumatore a registrare legalmente i propri programmi, e non a fargli fare uso dei tantissimi file crack presenti in rete, infatti tale documento aiuta a comprendere lo sforzo immane che ogni singolo programmatore ha dovuto portare avanti per fornire ai rispettivi consumatori i migliori prodotti possibili.
Noi reversiamo al solo scopo informativo e di miglioramento del linguaggio Assembly.