Si sono sempre io ev0 ma quello zero in fondo cominciava a darmi fastidio...
Meno male che questo almeno non è un'animale corazzato :D...
miaoooo*** *Bang! *evo has killed the cat...

Oggi ci occuperemo di fare il manual unpacking di questo packer, date le mie ancora scarse conoscenze su formato PE e compagnia (recentemente acquisite) spero almeno sia capibile, certamente non credo che andremo a fare una analisi completa del packer quindi rilassatevi sarà un cosa veloce e indolore ... :)

OllyDbg
ImportReconstructor 1.6
ProcDump

Northfox GDI demo 2: http://northfox.uw.hu | http://northfox.dyn.hu

Analizziamo il file con PEid, Meeeeewww =)

L'Entry Point è a 00020998h

Vediamo le sezioni del PE...

->Section Header Table 1. item: Name: MEW VirtualSize: 0x00018000 VirtualAddress: 0x00001000 SizeOfRawData: 0x00000000 PointerToRawData: 0x00000000 PointerToRelocations: 0x00000000 PointerToLinenumbers: 0x00000000 NumberOfRelocations: 0x0000 NumberOfLinenumbers: 0x0000 Characteristics: 0xC00000E0 (CODE, INITIALIZED_DATA, UNINITIALIZED_DATA, READ, WRITE) 2. item: Name: ÒuÛŠëÔ VirtualSize: 0x00016000 VirtualAddress: 0x00019000 SizeOfRawData: 0x000079B1 PointerToRawData: 0x00000200 PointerToRelocations: 0x00000000 PointerToLinenumbers: 0x00000000 NumberOfRelocations: 0x0000 NumberOfLinenumbers: 0x0000 Characteristics: 0xC00000E0 (CODE, INITIALIZED_DATA, UNINITIALIZED_DATA, READ, WRITE)

Il nostro EP cade nella seconda sezione. Guardiamo la prima, MEW: SizeOfRawData: 0x00000000, PointerToRawData: 0x00000000, bene possiamo immaginare che o stà li solo per non fare niente o ci verrà unpackato qualcosa all'interno durante il processo di unpacking...
Adesso carichiamo in Olly. Entry Point Alert! Ok lo sappiamo... Alla domanda Do you want to continue analysis? premiamo No.

Premiamo subito F8 e ci ritroviamo nel codice del packer:

00400154 BE 1C904100 MOV ESI,GDI_DEMO.0041901C 00400159 8BDE MOV EBX,ESI 0040015B AD LODS DWORD PTR DS:[ESI] 0040015C AD LODS DWORD PTR DS:[ESI] 0040015D 50 PUSH EAX ;cosa verra mai pushato? 0040015E AD LODS DWORD PTR DS:[ESI] 0040015F 97 XCHG EAX,EDI 00400160 B2 80 MOV DL,80

cominciamo a steppare sempre con F8 (no non ve lo dico cosa è che viene pushato :) se quello è un buffer e lui unpacka a partire da lì... pensa un po che cosa è)

Il secondo salto evidenziato torna all'inizio di un mega loop, guardando i vari jump ci accorgiamo che ce ne è uno proprio a 4001CA (quello evidenziato in blu) quindi mettiamo un breakpoint su 4001CA, premiamo F9 (run) e incrociamo le dita, si abbiamo visto giusto.
Azz ma c'è un jnz subito dopo, e salta ancora più sù, continuiamo a tracciare e controlliamo che non faccia niente di strano, ritorniamo sempre allo stesso punto, bene :) mettiamo un bp a 4001CF e premiamo F9 (lì dove è evidenziato in verde) sempre con F8 saltate questa call, e continuiamo a steppare...

Se avete notato da 4001CF fino a 40001FB carica le varie dll e le funzioni importate :)
Mettete un bp sul RETN, e cosa c'è nello stack? ehi ma quello non è il puntatore a quel "buffer" dove è stato unpackato tutto?
Si, e il RETN viene usato come salto all'entry point originale. Premete ancora una volta F8 e vi ritroverete all'entry point originale, dumpate con qualsiasi cosa vogliate (ProcDump, OllyDump [Senza usare rebit.dll by yoda]) e con un pe editor modificate l'entry point con quello che abbiamo trovato noi. Ricostruite le Import con Import Reconstructor attacandolo al processo corrente, mettete come OEP quello che abbiamo trovato (4F3C) premete IAT Auto Search, sono tutte import valide. Fix Dump e il nostro exe è dumpato.

                                                                                                                 evo...entuale firmetta

Siamo arrivati alla fine, con qualche perplessità forse... ma il file è lì e funziona.
Spero solo di essere stato chiaro. =)

Un saluto a GeO, Syx, a85k, Quequero, Andreageddon, Pnluck, ZeroG, tutti gli altri di cui non ricordo il nome,
un ringraziamento di dovere anche a chiunque abbia scritto tutorial su PE e Import Table.
Acknowledgements fly out to Northfox for his packer and his gdi demo ;)

Vorrei ricordare che il software va comprato e  non rubato, dovete registrare il vostro prodotto dopo il periodo di valutazione. Non mi ritengo responsabile per eventuali danni causati al vostro computer determinati dall'uso improprio di questo tutorial. Questo documento è stato scritto per invogliare il consumatore a registrare legalmente i propri programmi, e non a fargli fare uso dei tantissimi file crack presenti in rete, infatti tale documento aiuta a comprendere lo sforzo che ogni sviluppatore ha dovuto portare avanti per fornire ai rispettivi consumatori i migliori prodotti possibili.

Reversiamo al solo scopo informativo e per migliorare la nostra conoscenza del linguaggio Assembly.