logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Reverse Engineering >> Fichier compresser Newtopic | Reply
poster txt
Alfaz93
Inscrit le 27-01-2004
Posté le 27-01-2004 16:31

Existe t\'il d\'autres moyens que d\'utiliser procdump pour decompresser un fichier compacter?
merci.
profil | Website | edit | quote
sirius_black
Inscrit le 05-07-2003
Avatar
Posté le 27-01-2004 18:09

ouais ya des unpackers pour presque chaque type de cryptage.
pi ya même des unpackers génériques...
profil | mail | Website | edit | quote
Alfaz93
Inscrit le 27-01-2004
Posté le 07-02-2004 03:43

Ok merci et tu connaitrai pas 1 ou 2 nom?
profil | Website | edit | quote
elooo
Inscrit le 19-05-2003
Avatar
Posté le 07-02-2004 06:53

Tout depend avec quoi est packé ton soft, passe le sous StudPE ou PEiD et dis nous ce qu\'il en ressort
Sinon avec PEiD 0.91 un plugin d\'unpacking générique est dispo (pas testé encore).

J\'allais oublier, jette un oeil ici aussi, tu trouveras peut-être ton bonheur : http://protools.cjb.net/

[ Ce Message a été édité par: elooo le 2004-02-06 23:56 ]
profil | mail | Website | edit | quote
Silkscalp aliaas Sky
Inscrit le 12-02-2004
Posté le 12-02-2004 03:48

Pour decomprésser un ex packé il y a plusieur methode en fonction de la faignantise et du résultat
Bientot il devrait y avoir mon atyicle sur le site sur commemt decompresser un programme packé.crypté
En attentant les méthodes habituellement utilisées :

Avant tout ou : le nom des sections dans ProcDump (tu l\'utilise, tu le connait) te donne le packer, ex UPX aparait comme nom de section et cela permet de savoir que c\'est UPX la compression. Ou bien il te faudra utiliser StudPE ou PEiD pour connaitre la compression utilisée (comme le dit elooo). L\'adresse ou tu les trouvera est indiquées (protools) dans les posts.

1)Utiliser ProcDump (mais tu veux pas)

2)Utiliser un packer spécialisé pour le packer pour arriver a le depacke, essaye un générique mais t\'as moins de chance de réussite

3) A la main :
Retrousse tes manches et prend un bon débogueur. tu lances le prog depuis le débogueur. Attenttion il faut pas que te break sur l\'entry Point mais sur Original EntryPoint (EP/OEP), c\'est a dire que tu va faire un DUMP. Il faut que tu regarde les section, l\'adresse du début de la première section et l\'adresse du début de la section contenant l\'Entry Point. Si tu as w98 c\'est super car tu as soft-ice et tu beak des le vrai début du prog donc des que commence la routine de decompression. Avec ollydbg je connais plus le réglage mais je le retrouverai
J\'en ai besoin pour faire une suite à \"comment decompacter un exe avec Soft-Ice\" en \"comment decompacter un EXE avec ollydbg\" en prenant non plus UPOX mais une compression plus récente et plus complexe (pour toutes les version de windob>98 car Soft-Ice ne marche pas ou très mal sous XP

Donc tu trace la routine de decompression avec ton debogueur. Elle commence toujour par PUSHAD et finit par POPAD JMP XXXXXX ou POPAD; PUSH EAX; RET,(tu peux directement chercher le POPAD et mettre un point d\'arrét puis laisser avvancer le programme tout seul, il s\'arretera pile à la in de la décompression )en mettant l\'adresse du programme decompressé dans EAX, ou dans le XXXXXX du JMP. Cette adresse est l\'adresse en mémoire(vive) du prog [B]décompresse[/B]. Tu note consciensement puis tu modifie avec le débogueur l\'adresse du saut ou du cotenu de EAX. Tu modifie cette adrese par celle du JMP (tu met a la place l\'adresse de l\'EIP du JMP ou du RET) puis avec procdump (pendant que le prog boucle e mémoire vive) tu fais un DUMP FULL sur l\'application dans la liste du haut. Tu n\'as plus qu\'a modifier l\'entry point pour rendre le programme executable.(Si tu t\'en fout tu peux quand même le desassembler et creer un crack)Si tu veux que le prog fonctionne il faut modifer l\'EP pour eviter de repasser dans la routine de décryptage qui ne ferait que recrypter un prog déjà décrypté.Pour ca il faut faire XXXXXXX - imageBase = new Entry Point
Puis toujours dans procdump tu kill le programme qui sinon va boucler indefiniment en mémoire vive.
Voilà pour aujourdh\'ui
@+ Silkscalp
pour question ou contact : mail & msn : silkscalp1@hotmail.com
_________________________
Le Savoir est un pouvoir
profil | Website | MSN | edit | quote
elooo
Inscrit le 19-05-2003
Avatar
Posté le 12-02-2004 13:54

Quote:
Avant tout ou : le nom des sections dans ProcDump (tu l\'utilise, tu le connait) te donne le packer, ex UPX aparait comme nom de section et cela permet de savoir que c\'est UPX la compression. Ou bien il te faudra utiliser StudPE ou PEiD pour connaitre la compression utilisée (comme le dit elooo).



Oui, le nom des sections peut renseigner sur le packer qui a été utilisé, mais une section peut être renommée sans problème, donc ne pas toujours se fier aux noms des sections.
Il faut savoir aussi que chaque packer a sa propre signature, repérable dans un editeur hexa (et également modifiable).
C\'est d\'ailleurs la signature que PEiD ou StudPe utilisent pour donner leur verdict, il est donc assez aisé de les mettre dans les choux.
Et c\'est aussi par cette signature qu\'AVP (Kaspersky) \"crie\" à la corruption de fichier lorsqu\'il tombe sur un fichier packé lors d\'un scan.
On peut citer quelques exemples très connus :
* FSG :
- signature : FE 0E 0F 84 - FSG!
- sections : 2 sections sans nom

* UPX :
- signature : 61 E9 - 1.xx UPX!
- sections : UPX0 - UPX1

* Neolite :
- signature : FF E0 80 3D
- sections : .neolite

etc. Bref les sections et la signature étant modifiables on est jamais sûr de rien. Par contre avec l\'expérience, certains morceaux de code de packers sont extrêment reconnaissables :

* UPX :
PUSHAD
[... 4 lignes de code...]
JMP blabla
[... et beaucoup plus loin...]
POPAD
JMP vers OEP

* Neolite :
\"NeoLite Executab\"
\"le File Compress\"
\"or Copyright (c\"
\") 1998,1999 NeoW\"
\"orx Inc Portion\"
\"s Copyright (c) \"
\"1997-1999 Lee Ha\"
\"siuk All Rights\"
\" Reserved.
\",0
DB 00
MOV EAX,blabla
AND EAX,blablabla
CALL truc
INC bidule
JMP EAX <--- JMP OEP

Quote:

2)Utiliser un packer spécialisé pour le packer pour arriver a le depacke


Si le nom des sections et la signature sont intactes et si le soft n\'est packé qu\'une fois (parfois les softs cumulent 2 type de compression), ça peut fonctionner.

Quote:
l\'adresse du début de la première section et l\'adresse du début de la section contenant l\'Entry Point.


Pas forcément, mais c\'est en général le cas. Dans le cas de soft packés avec deux packers différents par exemple, l\'OEP peut se trouver dans une autre section.

Quote:
Avec ollydbg je connais plus le réglage mais je le retrouverai


Alt+O (ou Options, Debugging Option), onglet SFX,cocher Trace real entry bytewise (very slow) et recharger le soft dans olly, il va tracer pour toi ( ne marche pas pour tous les packers).
Il y a aussi la methode du CTRL+T (Debug, Set Condition), et poser une rangée où doit se trouver l\'EIP, là aussi il tracera pour toi.

-- edit --
Je relis mon message, et je pense à un truc...
J\'ai parlé d\'AVP qui \"crie\" lors que vous scannez un fichier packé (parce qu\'il le considère corrompu).
AVP, pour des packers \"exotiques\" peut être un excellent outil de reconnaissance de packer. Là où StuPE ou PEiD ne verront rien (car ne connaissant pas telle ou telle signature de packer), AVP ayant apparemment une database de signatures de packers beaucoup plus importante saura parfois mettre un nom sur un type de compression inconnu à StudPE ou PEiD

[ Ce Message a été édité par: elooo le 2004-02-12 11:56 ]
profil | mail | Website | edit | quote
Newtopic | Reply

Online : Agustinbluts, AgustinPhine, Agustinwhase, JeffreyOwert, JeffreyRar, Robertbeply et 82 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page