Jestem Początkujący - Skompresowane Pliki

[nnn12]

Mam taki programik który chciałbym załamać - problem w tym że ten plik jest jakoś skompresowany. To znaczy używałem programu PEDIT który pokazał mi że plik jest kompresowany algorytmem aPLib.

No i mam problem bo nie umiem tego rozpakować. Gdy uruchamiam sobie ten exe w OllyDbg to dostaje info że plik prawdopodobnie został skompresowany,zaszyfrowany albo zawiera dużą ilość danych....

Program się uruchamia w Ollym i przejściu paru kroków program staje na którejś tam instrukcji no i rzuca wyjątek - "adress volation from 0000000.

 

Czy ktoś wie jak się za to zabrać. Jestem nowicjuszem. Czytałem kilka tutoriali Leny ze strony tuts4you.com ale nadal nie potrafię sobie z tym poradzić.

Podejrzewam też że program ma jakiś wykrywacz debugera...

[Rand]

musisz napierw rozpakować, możesz zrzucic pamięć procesu na dysk.

Polecam : re.coldwind.pl

[nnn12]

musisz napierw rozpakować, możesz zrzucic pamięć procesu na dysk.

Polecam : re.coldwind.pl

 

 

To znaczy ja wiem że muszę to rozpakować znalazłem jakiś stary plugin grupy ARTeam który nie chcę mi działać w IDA ...no i nie wiem co dalej. Szukałem jakichś programów które by mogły to rozpakować ale nie znalazłem. Nie wiem o co chodzi z tym zrzucaniem pamięci na dysk. Pobrałem sobie plugin do OllyDbg który coś tam zrzuca ale nie wiem czy to o to chodzi - plugin nazywa się PE -DUMPER. Uruchomiłem ten PE-dumper i zapisałem to co wygenerował pod inną nazwą ...no i próbowałem to uruchomić w Ollym ale nadal dostaje jakiś wyjątki...

[OmegaArma]

Wrzuć do olly-ego, naciśnij na tak gdy zapyta czy analizować, naciśnij raz F7, z prawej w rejestrach kliknij na esp>>follow in dump, zaznacz pierwsze 4 bajty, ppm>>breakpoint on hardware>on access>>dword.\

Teraz kliknij na play, poczekaj chwile i spróbuj zrobić dumpa, wątpię żeby ta metoda podziałała, ale zawsze warto spróbować:P

[nnn12]

Wrzuć do olly-ego, naciśnij na tak gdy zapyta czy analizować, naciśnij raz F7, z prawej w rejestrach kliknij na esp>>follow in dump, zaznacz pierwsze 4 bajty, ppm>>breakpoint on hardware>on access>>dword.\

Teraz kliknij na play, poczekaj chwile i spróbuj zrobić dumpa, wątpię żeby ta metoda podziałała, ale zawsze warto spróbować:P

 

 

Ja się już poddaje nie mogę tego bo mnie to wykańcza nerwowo. Próbowałem to jakoś zrzucić ale mi nie wyszło.

Chodziło mi o crackme ze strony Eset job: http://www.3537.pl/analityk-zagrozen.html

 

Może wam się uda

[nnn12]

Ja się już poddaje nie mogę tego bo mnie to wykańcza nerwowo. Próbowałem to jakoś zrzucić ale mi nie wyszło.

Chodziło mi o crackme ze strony Eset job: http://www.3537.pl/analityk-zagrozen.html

 

Może wam się uda

 

 

jak się komuś uda to niech chociaż podpowie jak to rozpakować tak żeby się dało normalnie debagować

[Rand]

stary daj sobie spokój, na początku próbujesz złamać crackme na podstawie którego rekrutują do firmy antywirusowej.

Polecam crackmes.de

tam wybierz kryteria ' very easy for newebies' i masz mnóstwo materiałów do nauki które nie przerosną twojego 5k1l4

[nnn12]

stary daj sobie spokój, na początku próbujesz złamać crackme na podstawie którego rekrutują do firmy antywirusowej.

Polecam crackmes.de

tam wybierz kryteria ' very easy for newebies' i masz mnóstwo materiałów do nauki które nie przerosną twojego 5k1l4

 

ok - skorzystam z twojej rady. Jeśli jednak ktoś wie jak to rozpakować to prosiłbym o wskazówkę.

[MayWay]

Witam

 

Temat jest już trochę nieświeży, ale w ramach edukacji pozwole go sobie odświeżyć

 

1.

Do rozpoznania protektora warto używać różnych detektorów i to w najnowszych wersjach. Ja uzywam PEiD, RDG, PiD oraz FastScanner 3.

Po wrzuceniu do poszczególnych detektorów pliku 'crackme.esset.exe' otrzymałem następujące info:

 

PEiD - Nothing found *

RDG - PE Compact v2.5x - v2.7x

PiD - PE Compact v2.20 - v3.00 (or newer) compressed !

FastScanner 3 - Sorry nothing found ** Use Smart-Scan method

 

2.

Następnie warto ustalić kompilator.

Po zrobieniu full dump'a w PE Tools i wrzuceniu go z powrotem do różnych detektorów ukazało się następujące info:

 

PEiD - MEW 11 SE 1.2 -> NorthFox/HCC

FastScanner 3 - Microsoft Visual C++ v8.0 2005

DiE - Microsoft Visual C++ | C/C++

RDG - Visual Basic 6.0 Codigo Nativo

 

No i masz babo placek

 

3.

Aby pogrzebać w tym crackme potrzebna jest "poprawiona" wersja Ollydbg. Spróbuj edycji DeFixed v2.0 grupy FOFF.

 

4.

Do wypakowania pliku skorzystaj z triku "ESP" opisanego przez kolegę OmegaArma: "Wrzuć do olly-ego, naciśnij na tak gdy zapyta czy analizować, naciśnij raz F7, z prawej w rejestrach kliknij na esp>>follow in dump, zaznacz pierwsze 4 bajty, ppm>>breakpoint on hardware>on access>>dword." . To działa

 

Pozdrawiam