вторник, 3 мая 2016 г.

Распаковка самодельного упаковщика

Многие просили меня сделать распаковку самописного пакера/протектора/криптора, но найти что то интересное очень сложно. В этой статье я постараюсь описать распаковку программы под названием GeneratorRegedit которая служит для создания дампа реестра с настройками RMS.




Начнём как всегда с анализа поциента:


Как можно заметить - файл упакован. Загрузим его в OllyDBG:


Что то мне это напоминает, ну да ладно, продолжим исследование....

Теперь приступаем к поиску OEP, тут ничего сложного нет, просто жмём постоянно F8 пока не найдём нечто подобное:



Тут происходит распаковка файла, ничего интересного. Мотаем в самый низ и наблюдаем следующее:


Похоже, это переход на OEP, ставим бряк (F2) и жмём F9. Срабатывает бряк, жмём F8 и попадаем куда целились:


Не обращая внимания на мусор и другие непотребства делаем дамп при помощиплагина для ольки под названием OllyDump:


Файл прибавил в весе: 3,93 МБ

Что бы программа начала запускаться нужно пофиксить импорт, делается это при помощи ImpRec всего в пару кликов мыши, для этого:

1. Запускаем оригинальный exe (не распакованный)
2. Запускаем ImpRec
3. В ImpRec выбираем оригинальный процесс
4. Вводим найденное OEP в соответствующее поле
5. Нажимаем кнопку IAT AutoSearch, появится:


6. Нажимаем GetImports:


7. Жмём "Fix Dump" и выбираем наш дамп.

Если всё сделали правильно - после данных танцев с бубном программа должна запуститься. IDR спокойно загрузил распакованный exe и начал анализ:


PEiD так же говорит что всё ок. На этом распаковка закончена!

Скачать оригинал и распакованный файл можно тут: MEGA
© VANS

3 комментария:

  1. Это не самописный пакер, это MPRESS. А его распаковка есть в интернете.

    ОтветитьУдалить
    Ответы
    1. Я знаю, по точке входа это сразу видно. Но тут автор секции переименовал и многие сходу не определят упаковщик.

      Удалить
    2. Я автор. И PEID довольно старый анализатор, используй ExeInfoPE, он бы тебе точно сказал что это MPRESS.

      Удалить