Merhaba arkadaşlar bugün sizlere bir program UPX adlı packer tarafından packlendiği zaman zaman nasıl memory üzerinden dump edilir bunu gösterdim.
UPX Unpack Aşamaları:
1-PUSHAD instructionı ile tüm registerlar stackde saklanır.
2-Tüm bölümler unpack kodu ile unpack edilir.
3-IAT tablosu fix edilir.
4-POPAD instructionı ile tüm registerlar eski değerlere yüklenir.
5-Klasik bir JMP instructionı ile asıl OEP adresine atlanır.
Kullandığım debugger:
Kullandığım rebuilder:
Kullandığım program scanner(analyzer):
Kullandığım plugin:
Şimdi videomuza geçelim arkadaşlar umarım yararlı olur.
[ame]https://www.youtube.com/watch?v=Jd4jvDTEdSY[/ame]
UPX Unpack Aşamaları:
1-PUSHAD instructionı ile tüm registerlar stackde saklanır.
2-Tüm bölümler unpack kodu ile unpack edilir.
3-IAT tablosu fix edilir.
4-POPAD instructionı ile tüm registerlar eski değerlere yüklenir.
5-Klasik bir JMP instructionı ile asıl OEP adresine atlanır.
Kullandığım debugger:
Kod:
-ollydbg
Kod:
-ImportREC
Kod:
-Detect It Easy (DIE)
Kod:
-ollydump[/COLOR]
[ame]https://www.youtube.com/watch?v=Jd4jvDTEdSY[/ame]
Moderatör tarafında düzenlendi: