logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Reverse Engineering >> tut Asc4 Newtopic | Reply
poster txt
goldocrack
Inscrit le 16-11-2005
Avatar
Posté le 21-11-2005 18:37

Bonsoir,

je viens de faire un tut sur asc4 et son unpacking manuel

si ca vous intéresse:

http://www.megaupload.com/fr/?d=NLOYRXEQ

Si vous pouviez me dire ce que vous en pensez?

merci

_________________________
Goldo

ps : j'ai modifié ton lien non valide..

[ Ce Message a été édité par: Chronos le 2005-11-21 19:16 ]
profil | edit | quote
Aegis
Inscrit le 19-05-2003
Avatar
Posté le 22-11-2005 00:32

Hum, ben le souci c'est que ça n'apprend pas grand chose ton tuto
En fait, la pratique tu la connais (jusqu'au nombre de F8 ou F9 à presser), mais tu n'expliques pas ce que tu fais de manière théorique.

Quand tu écris par exemple qu'il faut presser F8 jusqu'à ce qu'on voit que esp = 12FFC0, pourquoi ne pas expliquer plutot pourquoi c'est important d'arriver là, dans quelle portion de code on arrive, où y'a de fortes chances qu'on aille ?
Tu vas peut-être me répondre "ben je ne sais pas, je l'ai lu dans un tuto" (c'est d'ailleurs ce que tu as écrit) mais tu ne t'es pas demandé toi-même d'où le gars qui écrivait ça le sortait ?

Tu sais, l'unpacking c'est pas du feeling, on ne se réveille pas un matin en se disant "12FFC0", je le sens c'est ça

En fait, en 401006, t'es en plein sur l'installation du SEH (qui va générer une exception... exception que tu n'as pas du voir si tu as choisi d'ignorer toutes les exceptions avec Ollydbg).
L'exception sera un "access violation" :
Code:

xor eax, eax
mov dword ptr [eax], ecx


puisque eax est mis à zéro avec le xor, et tu essaies de mettre la valeur contenue dans ecx à l'adresse [00000000].

La valeur que tu récupères dans le dump mémoire, c'est l'adresse du SEH handler : c'est là que tu vas être redirigé après que l'exception ait eu lieu afin de continuer malgré tout l'execution du programme.

Autre chose :
Quote:

à la place de 1000 vous inscrivez 1173d8 correspndant à la valeur de 5173d8 - 40000.


Déja il te manque un 0 à 400000
Ensuite, ça correspond ici, parce que l'imagebase de ton programme est à 400000 (et que pour la majorité des programmes elle est de 400000), mais ce n'est pas toujours le cas, et ça ne l'est quasi jamais pour les dll.

Ah oui, encore un truc qui m'a fait halluciner :
Quote:

Vous laissez Olly ouvert a l'octet 714965 là où il JMP EAX !



Un octet, c'est un byte, c'est 8 bits. Là, ton "714965", ça équivaut à 3 fois un octet, donc on se demande un peu ce que tu dis.
En fait ce n'est pas le mot "octet" que tu aurais du utiliser, mais plutot "adresse", voire carrément VA (pour Virtual Address, mais bon, ça c'est déjà plus 1337... enfin j'en ai marre d'expliquer là )

Bref, je ne vais pas tout reprendre ton tutorial, mais je trouve que c'est dommage de prendre du temps pour rédiger un bidule et de ne pas essayer de pousser un peu au fond des choses.
Tu sais, je fais partie des gens qui apprennent toujours des machins quand ils rédigent un truc (sympa ces deux phrases précédentes, je m'épate moi-même ... ) justement parce que j'essaie d'expliquer le plus possible ce qui se passe.
j'ai du mal à concevoir qu'on puisse apprendre réellement quelque chose à quelqu'un sans soi-même comprendre concrètement ce qu'on tente d'expliquer

Je pense que c'était ton premier unpacking, peut-être même ton premier tutorial, donc ben essaie de tenir compte des différentes remarques que tu pourras obtenir ici ou sur FC ( ) et puis je te souhaite bonne chance pour la suite

_________________________


[ Ce Message a été édité par: Aegis le 2005-11-22 00:40 ]
profil | mail | Website | edit | quote
goldocrack
Inscrit le 16-11-2005
Avatar
Posté le 22-11-2005 15:34

Merci Aegis,

Ta critique est constructive, certe je n'ai pas tout détaillé mais si tout à l'air tracé, j'ai juste compté pr faire le tut sans pouvoir me remettre dans l'état dans lequel j'étais quand je l'ai réellement unpacké !

je prends note des suggestions et j'en tiendrai compte la prochaine fois, je pensais aussi que ceux qui savent déja unpacker manuellement n'avait pas besoin de se faire réexpliquer ce que je trouvais évident comme les exceptions etc...

merci

a+
_________________________
Goldo
profil | edit | quote
Newtopic | Reply

Online : ahiecupone, aifacatici, anijifariqo, ascaqebahab, bsgSlime, DannyBow, exihoguqpso, FecSuend, Georgedig, iecaleqstahi, iliyiuxocuc, iqudemicofaw, iyojevocabe, qizhen10001, xiao12345 et 38 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page