首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]Unknown UPX.
发表于: 2012-6-4 18:34 9203

[求助]Unknown UPX.

scud 活跃值
2012-6-4 18:34
9203
Please help me with unknown UPX.
unknown_UPX.rar

00542F40 > 60               PUSHAD
00542F41   53               PUSH EBX
00542F42   45               INC EBP
00542F43   43               INC EBX
00542F44   4F               DEC EDI
00542F45   4E               DEC ESI
00542F46   53               PUSH EBX
00542F47   BE 00204500      MOV ESI,unknown_.00452000
00542F4C   8036 53          XOR BYTE PTR DS:[ESI],53
00542F4F   8076 1E 6F       XOR BYTE PTR DS:[ESI+1E],6F
00542F53   8DBE 00F0FAFF    LEA EDI,DWORD PTR DS:[ESI+FFFAF000]

[课程]Linux pwn 探索篇!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (17)
我就是wo
雪    币: 34
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
dumped_.rar

简单的脱了下,有自校验
上传的附件:
2012-6-4 21:11
0
scud
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
It's not correct dump.
2012-6-5 21:08
0
后恋
雪    币: 72
活跃值: (60)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
4
[QUOTE=我就是wo;1077659] dumped_.rar

简单的脱了下,有自校验[/QUOTE]

话说这自校验咋去的/?
2012-6-6 15:39
0
hcg
雪    币: 350
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
hcg
5
OD 载入 脱壳档下断点

bp KERNEL32.ExitProcess

回逤回去很容易找到效验处的
2012-6-6 19:02
0
scud
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
I can't dump correct file.
"Bad EXE Integrity"
2012-6-7 18:24
0
jinxuelong
雪    币: 141
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
这个壳应该很好脱克
2012-6-8 07:54
0
scud
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
Nothing.
2012-6-11 13:26
0
hcg
雪    币: 350
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
hcg
9
還沒成功脫下^^

OD 載入

00542F40 >  60              pushad       入口點..
00542F41    53              push ebx
00542F42    45              inc ebp
00542F43    43              inc ebx
00542F44    4F              dec edi
00542F45    4E              dec esi
00542F46    53              push ebx
00542F47    BE 00204500     mov esi,00452000

命令欄   輸入    hr esp-20   ---->  Enter

F9 4 次  後取消硬體斷點

0047B280    9D              popfd   停在此
0047B281    8B9A 09274000   mov ebx,dword ptr ds:[edx+0x40270>
0047B287    898A 09274000   mov dword ptr ds:[edx+0x402709],e>
0047B28D    FFE3            jmp ebx    跳往  OEP

00452FBC    6A 60           push 0x60                  OEP
00452FBE    68 309D4F00     push 004F9D30
00452FC3    E8 24410000     call 004570EC
00452FC8    BF 94000000     mov edi,0x94
00452FCD    8BC7            mov eax,edi
00452FCF    E8 9C1D0000     call 00454D70
00452FD4    8965 E8         mov dword ptr ss:[ebp-0x18],esp
00452FD7    8BF4            mov esi,esp
00452FD9    893E            mov dword ptr ds:[esi],edi
00452FDB    56              push esi

到達  OEP 後
1.
Ctrl+G 搜尋   0043373E

0043373E   /75 45           jnz short 00433785   ( 改 jmp  00433785)
00433740   |68 040C0000     push 0xC04
00433745   |E8 456A0300     call 0046A18F
0043374A   |83C4 04         add esp,0x4
0043374D   |894424 14       mov dword ptr ss:[esp+0x14],eax
00433751   |3BC3            cmp eax,ebx
00433753   |C68424 780A0000>mov byte ptr ss:[esp+0xA78],0x2
0043375B   |74 09           je short 00433766
0043375D   |8BC8            mov ecx,eax
0043375F   |E8 4C000100     call 004437B0
00433764   |EB 02           jmp short 00433768
00433766   |33C0            xor eax,eax
00433768   |53              push ebx
00433769   |68 60494800     push 00484960                     ; UNICODE "Error"
0043376E   |68 A0D54E00     push 004ED5A0                     ; UNICODE "No Language files are available. Please reinstall application./Nejsou dostupne zadne jazykove soubor"
00433773   |53              push ebx
00433774   |8987 AC000000   mov dword ptr ds:[edi+0xAC],eax
0043377A   |FF15 48C54700   call dword ptr ds:[0x47C548]      ; USER32.MessageBoxW
00433780   |E9 E3010000     jmp 00433968
00433785   \68 040C0000     push 0xC04

2.
Ctrl+G 搜尋   00413685

00413685  ^\E3 A3           jecxz short 0041362A    (二進位  E3 A3 改 75 A3)
00413687    3E:FB           sti                               ; 多餘前綴
00413689    4D              dec ebp
0041368A    D9C0            fld st
0041368C    02A6 3C7A6072   add ah,byte ptr ds:[esi+0x72607A3>
00413692    1A6D 0D         sbb ch,byte ptr ss:[ebp+0xD]
00413695    CE              into
00413696    36:20D6         and dh,dl                         ; 多餘前綴
00413699    A9 9508C791     test eax,0x91C70895

改好後直接 用 OD 插件轉存既可^^
2012-6-11 14:28
0
scud
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
I known that OEP  is in 00452FBC.
I dump with OEP 52FBC and reconstruct with ImpRec.
unknown_UPX_unpack.rar
Analyze of NEW unpacked file says: Microsoft Visual C++ 7.0 *

But header of file is slicing.


I think that have third type packer maybe Armadillo.
00452FBC > $  6A 60         PUSH 60
00452FBE   .  68 309D4F00   PUSH unknown_.004F9D30
00452FC3   .  E8 24410000   CALL unknown_.004570EC
00452FC8   .  BF 94000000   MOV EDI,94
00452FCD   .  8BC7          MOV EAX,EDI
00452FCF   .  E8 9C1D0000   CALL unknown_.00454D70
00452FD4   .  8965 E8       MOV DWORD PTR SS:[EBP-18],ESP
00452FD7   .  8BF4          MOV ESI,ESP
00452FD9   .  893E          MOV DWORD PTR DS:[ESI],EDI
00452FDB   .  56            PUSH ESI                                 ; /pVersionInformation
00452FDC   .  FF15 9CC24700 CALL DWORD PTR DS:[<&kernel32.GetVersion>; \GetVersionExA

Without analyze of Ollydbg:
Ctrl+G - 00413685

00413685  ^\E3 A3                 JECXZ SHORT unknown_.0041362A
00413687    3E:FB                 STI                                      ; Superfluous prefix
00413689    4D                    DEC EBP
0041368A    D9C0                  FLD ST
0041368C    02A6 3C7A6072         ADD AH,BYTE PTR DS:[ESI+72607A3C]
00413692    1A6D 0D               SBB CH,BYTE PTR SS:[EBP+D]
00413695    CE                    INTO
00413696    36:20D6               AND DH,DL                                ; Superfluous prefix
00413699    A9 9508C791           TEST EAX,91C70895

With analyze of Ollydbg:
Ctrl+G - 00413685

00413685      E3                  DB E3
00413686      A3                  DB A3
00413687      3E                  DB 3E                                    ;  CHAR '>'
00413688      FB                  DB FB
00413689      4D                  DB 4D                                    ;  CHAR 'M'
0041368A      D9                  DB D9
0041368B      C0                  DB C0
0041368C      02                  DB 02
0041368D      A6                  DB A6
0041368E      3C                  DB 3C                                    ;  CHAR '<'
0041368F      7A                  DB 7A                                    ;  CHAR 'z'
00413690      60                  DB 60                                    ;  CHAR '`'
00413691      72                  DB 72                                    ;  CHAR 'r'
00413692      1A                  DB 1A
00413693      6D                  DB 6D                                    ;  CHAR 'm'
00413694      0D                  DB 0D
00413695      CE                  DB CE
00413696      36                  DB 36                                    ;  CHAR '6'
00413697      20                  DB 20                                    ;  CHAR ' '
00413698      D6                  DB D6
00413699      A9                  DB A9
0041369A      95                  DB 95
0041369B      08                  DB 08
0041369C      C7                  DB C7
0041369D      91                  DB 91

Greetings.
上传的附件:
2012-6-11 16:51
0
hcg
雪    币: 350
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
hcg
11
Unpaked
上传的附件:
2012-6-11 17:53
0
scud
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
1. How you remove slicing?

2. Why i can't view code with analyze of ollydbg?
With analyze of Ollydbg:
Ctrl+G - 00413685

00413685 E3 DB E3
00413686 A3 DB A3
00413687 3E DB 3E ; CHAR '>'
00413688 FB DB FB
00413689 4D DB 4D ; CHAR 'M'
0041368A D9 DB D9
0041368B C0 DB C0
0041368C 02 DB 02
0041368D A6 DB A6
0041368E 3C DB 3C ; CHAR '<'
0041368F 7A DB 7A ; CHAR 'z'
00413690 60 DB 60 ; CHAR '`'
00413691 72 DB 72 ; CHAR 'r'
00413692 1A DB 1A
00413693 6D DB 6D ; CHAR 'm'
00413694 0D DB 0D
00413695 CE DB CE
00413696 36 DB 36 ; CHAR '6'
00413697 20 DB 20 ; CHAR ' '
00413698 D6 DB D6
00413699 A9 DB A9
0041369A 95 DB 95
0041369B 08 DB 08
0041369C C7 DB C7
0041369D 91 DB 91


3. Which packer and version is packed file?

Greetings.
2012-6-11 20:42
0
jinxuelong
雪    币: 141
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
谢谢分享
2012-6-12 08:27
0
ellee
雪    币: 34
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
1.
00542F40 >  60              pushad       ;EntryPoint
00542F41    53              push ebx
00542F42    45              inc ebp
00542F43    43              inc ebx
00542F44    4F              dec edi
00542F45    4E              dec esi
00542F46    53              push ebx
00542F47    BE 00204500     mov esi,00452000

2.F8 Step Over

3.hr esp

4.click F9 until

0047B280    9D              popfd
0047B281    8B9A 09274000   mov ebx, dword ptr [edx+402709]
0047B287    898A 09274000   mov dword ptr [edx+402709], ecx
0047B28D    FFE3            jmp ebx        ;Jmp OEP

00452FBC    6A 60           push 60        ;OEP
00452FBE    68 309D4F00     push 004F9D30
00452FC3    E8 24410000     call 004570EC
00452FC8    BF 94000000     mov edi, 94
00452FCD    8BC7            mov eax, edi
00452FCF    E8 9C1D0000     call 00454D70
00452FD4    8965 E8         mov dword ptr [ebp-18], esp
00452FD7    8BF4            mov esi, esp
00452FD9    893E            mov dword ptr [esi], edi
00452FDB    56              push esi
00452FDC    FF15 9CC24700   call dword ptr [47C29C]                  ; kernel32.GetVersionExA

5.Remove all BreakPoints

Dump full with LordPE

6.Import REConstructor with ImportREC

7. Remove self-checking

bp CreateFileA

00456614   /75 1A           jnz short 00456630                ;change to 9090
00456616   |E8 260C0000     call 00457241
0045661B   |C700 18000000   mov dword ptr [eax], 18
00456621   |E8 240C0000     call 0045724A
00456626   |8320 00         and dword ptr [eax], 0
00456629   |8BC3            mov eax, ebx
0045662B   |E9 DB000000     jmp 0045670B
00456630   \8B45 08         mov eax, dword ptr [ebp+8]
00456633    6A 00           push 0
00456635    56              push esi
00456636    FF75 F4         push dword ptr [ebp-C]
00456639    C700 01000000   mov dword ptr [eax], 1
0045663F    8B45 0C         mov eax, dword ptr [ebp+C]
00456642    8938            mov dword ptr [eax], edi
00456644    8D45 E4         lea eax, dword ptr [ebp-1C]
00456647    50              push eax
00456648    FF75 F8         push dword ptr [ebp-8]
0045664B    FF75 F0         push dword ptr [ebp-10]
0045664E    FF75 10         push dword ptr [ebp+10]
00456651    FF15 54C34700   call dword ptr [<&kernel32.CreateFileA>] ; kernel32.CreateFileA

ChangeD

00456614    90              nop
00456615    90              nop
00456616   |E8 260C0000     call 00457241
0045661B   |C700 18000000   mov dword ptr [eax], 18
00456621   |E8 240C0000     call 0045724A
00456626   |8320 00         and dword ptr [eax], 0
00456629   |8BC3            mov eax, ebx
0045662B   |E9 DB000000     jmp 0045670B
00456630   \8B45 08         mov eax, dword ptr [ebp+8]
00456633    6A 00           push 0
00456635    56              push esi
00456636    FF75 F4         push dword ptr [ebp-C]
00456639    C700 01000000   mov dword ptr [eax], 1
0045663F    8B45 0C         mov eax, dword ptr [ebp+C]
00456642    8938            mov dword ptr [eax], edi
00456644    8D45 E4         lea eax, dword ptr [ebp-1C]
00456647    50              push eax
00456648    FF75 F8         push dword ptr [ebp-8]
0045664B    FF75 F0         push dword ptr [ebp-10]
0045664E    FF75 10         push dword ptr [ebp+10]
00456651    FF15 54C34700   call dword ptr [<&kernel32.CreateFileA>] ; kernel32.CreateFileA

Now run unpacked program
2012-6-12 11:47
0
scud
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
@ellee
Your method can't unpack correct file.

@hcg
Thank you for unpack.
Only your unpack file is correct.

Unpaked

上传的附件 Unpaked.rar (669.3 KB, 11 次下载) [谁下载?]


Do you can tell me how unpack file?
2012-6-12 18:20
0
scud
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
@hcg
Your file is not unpacked full yet.

Memory map, item 17
Address=00452000
Size=000F6000 (1007616.)
Owner=Unpaked 00400000
Section=.data
Contains=SFX,data
Type=Imag 01001002
Access=R
Initial access=RWE


The file isn't unpack full.
The file contents SFX yet.
上传的附件:
2012-6-13 14:59
0
Seely
雪    币: 180
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
Do you can tell me how unpack file?

Are you a foreigner?
2012-6-18 17:26
0
scud
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
Are you a foreigner?

No.
I live on planet earth.
I am not foreigner.
Greetings.
2012-6-18 20:27
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//