UPX adlı Packer'i Manuel Unpack Etme

S

SynFl00der

Üye
21 Ağu 2016
174
0
Kocaeli
Merhaba arkadaşlar bugün sizlere bir program UPX adlı packer tarafından packlendiği zaman zaman nasıl memory üzerinden dump edilir bunu gösterdim.
UPX Unpack Aşamaları:
1-PUSHAD instruction’ı ile tüm registerlar stack’de saklanır.
2-Tüm bölümler unpack kodu ile unpack edilir.
3-IAT tablosu fix edilir.
4-POPAD instruction’ı ile tüm registerlar eski değerlere yüklenir.
5-Klasik bir JMP instruction’ı ile asıl OEP adresine atlanır.
Kullandığım debugger:
Kod: 
-ollydbg
Kullandığım rebuilder:
Kod: 
-ImportREC
Kullandığım program scanner(analyzer):
Kod: 
-Detect It Easy (DIE)
Kullandığım plugin:
Kod: 
-ollydump[/COLOR]
Şimdi videomuza geçelim arkadaşlar umarım yararlı olur.


[ame]https://www.youtube.com/watch?v=Jd4jvDTEdSY[/ame]
 
Moderatör tarafında düzenlendi:
S

SynFl00der

Üye
21 Ağu 2016
174
0
Kocaeli
Yorumlarınız için teşekkürler arkadaşlar.
Sult' Alıntı:
upx sanırım eskide kaldı kullanan
kalmadı
videonu izleyemedim ekranımda bir sorun var sonra bakacağım
Genişletmek için tıkla ...
Upx "adı" eskide kalmış olsa da hala daha modlayıp kullanan kişi çok. Crackme lerde olsun antivirüs atlatmak için olsun(özellikle darkcomet'in stublarında :d) bir çok yerde görüyorum ve hazır unpackerler de algılayamıyor. Çünkü uyanıklar upx sectionlarını siliyor veya kafasına gore editliyor. Ve bu tekniği bir çok generic packer de (aspack vs.) kullanabilirsiniz. Yorumunuz için teşekkür ederim.
 
S

Socialmm

Katılımcı Üye
8 Ocak 2017
854
1
SynFl00der' Alıntı:
Yorumlarınız için teşekkürler arkadaşlar.

Upx "adı" eskide kalmış olsa da hala daha modlayıp kullanan kişi çok. Crackme lerde olsun antivirüs atlatmak için olsun(özellikle darkcomet'in stublarında :d) bir çok yerde görüyorum ve hazır unpackerler de algılayamıyor. Çünkü uyanıklar upx sectionlarını siliyor veya kafasına gore editliyor. Ve bu tekniği bir çok generic packer de (aspack vs.) kullanabilirsiniz. Yorumunuz için teşekkür ederim.
Genişletmek için tıkla ...

bro bu yontemle cok zor unpack edilen dosyalarida unpack edebilirmiyiz ? farkli packerlar kullanilmis dosyalari
 
Son düzenleme:
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.