Reverse Engineering - Unpacking
Eğer tüm apiler geçerli hale geldiyse show invalide basınca karşımıza geçersiz adres çıkmıyorsa fix dump tuşuna basıyoruz ve daha önceden dump ettiğimiz dosyayı seçiyoruz.Eğer dump edince dump.exe ismini verdiysek impres dump_.exe isimli dosya oluşturacak.
ve son olarak dosyamızı test ediyoruz.Eğer bir yerde hata yapmadıysak sorunsuz olacak çalışacaktır.
Şimdi PECompact ile packlediğim programa gelelim.
Bunda tek fark OEP’i ESP’ye hardware breakpoint koyarak bulabilmeniz.OEP’i bulma dışında yapacaklarınız tamamen aynı.
Ollydbgda programı açıyoruz ve F8 ile ile ilerliyoruz.ESP değeri değiştiğinde espye sağ tıklayıp follow in dump diyoruz.Hex dumptaki değerleri seçip sağ tıklayıp breakpoint->hardware on access’i seçiyoruz ve breakpoint koyuyoruz.
Bundan sonra reset(<<) tuşuna basıp programı çalıştırıyoruz.Her o bölgeye erişimde program duraksayacak 3 defa tıkladıktan sonra karşımza jmp eax gibi şüpheli birşey gelecek. OEP’emi zıplıyor diye düşündükten .F8’e basıp sonra karşımıza OEP gelmiş olacak.Bundan sonrada dump edeceksiniz.Import adress table’ı imprec yardımıyla düzelteceksiniz.Aynı şeyleri tekrar ediyoruz.
Packerlarda jmp ve ret olan bölgelere dikkatle bakmamız gerekir.Oradan OEP’e zıplıyor olabilir.Diğer bir konu gösterdiğim packerlar api redirection kullanıyorlardı.Bazı kalitesiz packerlarda bunları yapmamıza gerek kalmaz.Sadece OEP’i bulup dump etmemiz yeterlidir.Eğer dump ettiysek fakat çalışmıyorsa fakat imprectede apilerle ilgili sorun gözükmüyorsa packerın PE headera zarar vermesinden dolayıdır.Buna çözüm olarak LordPE programında ki Rebuild PE butonuna basar ve PE Headerı yeniden oluşturursanız sorununuz ortadan kalkar.Bunlara rağmen sorun devam ediyorsa dosyanın orjinal ismi a.exe olması gerekiyorken sizi dump.exe yapmanızdanda kaynaklanabilir.Birçok ihtimal var.
Bu konuda anlatacaklarım bu kadar.Bu yazı,örnek gösterilen programlar ve ekstra materyaller tamamen
Hit: 7033
Yazar: anonim6918524