UPX & Nutella

con OllyDump
Written by Pnluck

Introduzione

Reversiamo un programma criptato utilizando OllyDump

Tools usati

Tools usati: Ollydbg,OllyDump

URL o FTP del programma

Nutella CrackMe (scaricabile dalla sezione CrackMe)

Notizie sul programma

Un crackme compresso con Upx (un pacchettatore con licenza GNU).
OllyDump � un plug-in creato x Ollydbg da GigaPede, � un utility che serve ad arrivare al OriginalEntryPoint di un prg criptato o compresso, OllyDump funzione dove la funzione x SFX di Ollydbg non riesce (almeno dove l'ho provato io) :)

Essay

In questo tute vi spiego come usare OllyDump e come sia utilizzare quest�ultimo con prg compressi, in questo caso utilizeremo il crackme Nutella fatto da Active, che � stato compresso con UPX.
Prima di tutto downloadate OllyDump incollatelo nella cartella dove c�� l�Ollydbg e copiate Il crackme compresso con UPX dove volete :).
Ora avviate il crackme e vedrete che il prg ha l�Original EntryPoint fuori dal prg, quindi il prg � criptato o compresso, proviamo la funzione SFX di Ollydbg, ma vediamo che questa non funge, allora proviamo con OllyDump, clickiamo su plug-in,
poi su OllyDump e clikiamo su � Find OEP by Section Hop(trace over)�, che serve a trovare l' "Original Enty Point", del programma. Dopo averci clikkato sopra nella barra gi� in basso a destra esce scritto�Tracing�,e dopo un po� entreremo nell�entrypoint del prg, esattamente ad 401000. A questo punto riandiamo su OllyDump e clikiamo su "Dump debugged process", qui clikiamo su "Dump" e salviamo il file exe con un altro nome, apriamo il file che abbiamo appena generato e x risolvere il crackme basta semplicemente... andare a vedere alla soluzione che abbiamo fatto io ed Xtremer, qui voglio spiegare come funge il plug-in.
Nel men� a tendina dove c'� OllyDump le voci �Find OEP by Section Hop(trace into)� e � Find OEP by Section Hop(trace over)�, servono entrabbe a trovare L' Original Entry Point del prg, solo che il trace into � molto + sicuro rispetto al trace over, xk� pu� capitare che il jmp o ret che il prg criptatore mette x tornare al prg de-criptato possa essere all'interno di una call.
Sempre dal men� a tendina la voce "Dump debugged process", porta ad un'altra finestra che ha le seguenti caratteristiche:
Start Address (Image Base): � il valore in cui inizia la mappatura del file in memoria.Nei file exe � sempre 40000.
Size (Size of Image): � la grandezza del file mappato in memoria.
Entry Point -> Modify: � il punto d�entrata del prg cio� da dove iniza l�esecuzione del prg, il quale viene modificata dopo che abbiamo trovato l�Entry Point original.
Base of Code: � dove inizia la sezione di codice del prg eseguibile.
Base of Data: � la grandezza della sezione del codice.
Get EIP as OEP: EIPcontiene l'indirizzo della prossima instruzione,e questo pulsate imposta Eip come L'Original Entry Point
Fix Raw Size & Offset of Dump Image: monta automaticamente la Raw Siza e Raw Offset.
Raw Size:grandezza sezioni occupate nel disco.
Raw Offset:Indirizzo fisico dal qual � mappata la sezione del file.
Rebild Import: spiegato proprio semplicemeeeeeeeente, ricostruisce la sezione Ip (Import Table) che contiene tutte le api che servono al prg.
Dump: non fa altro che salvare il file exe appena modificato.

Poi per risolvere il crackme trovate la mia guida fatta con Xtremer nella UIC

                                                                                                                 Pnluck

Note finali

Credo di aver spiegato come funziona qquesto utile plug-in e quindi,ringrazio i ragazzi della uic e di insident, ma uno spial thx a Quake ke a furia di domande gli ho rotto le palle,ad Andre che � sempre presente in Irc, ad "ironspek" x i suoi consigli "spekiali", Brnocrist,marella,Xtremer,FIgar� e tutti gli altri che mi hanno aiutato.
PS: thx anche a Q x aver creato.... Cosa? ¬__¬ NdQ

Disclaimer

Qui inserirete con questo carattere il vostro piccolo disclaimer, non � obbligatorio per� � meglio per voi se c'�. Dovete scrivere qualcosa di simile a: vorrei ricordare che il software va comprato e  non rubato, dovete registrare il vostro prodotto dopo il periodo di valutazione. Non mi ritengo responsabile per eventuali danni causati al vostro computer determinati dall'uso improprio di questo tutorial. Questo documento � stato scritto per invogliare il consumatore a registrare legalmente i propri programmi, e non a fargli fare uso dei tantissimi file crack presenti in rete, infatti tale documento aiuta a comprendere lo sforzo immane che ogni singolo programmatore ha dovuto portare avanti per fornire ai rispettivi consumatori i migliori prodotti possibili.

Noi reversiamo al solo scopo informativo e di miglioramento del linguaggio Assembly.