PHP Forum - Coding Board
Juni 18, 2018, 02:29:00 *
Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername, Passwort und Sitzungslänge
News:
 
   Übersicht   Hilfe Suche Einloggen Registrieren  
Seiten: [1] 2
  Drucken  
Autor Thema: UnpackMe 1 by DizzY_D  (Gelesen 519 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
DizzY_D
Official SC Leaker
Full Member
***
Beiträge: 104

296119081
Profil anzeigen E-Mail
« am: März 09, 2009, 11:53:19 »

hide]http://uploaded.to/?id=cw49y1[/hide]

Viel Spass und Bugs etc. natürlich melden!!!

EDIT:\\
Dämlichen Bug gefixt xD
Müsste jetzt auch bei allen laufen die keine Platte namens "C" haben.
Alle anderen sollten bei sich mal unter C nachsehen.
Da müsste nun ne txt Datei namens "hi" zu finden sein.
In ihr steht der Jump Table im Klartext.
Jetzt sollte es auch dür die unerfahrerenen nicht mehr so das Problehm sein das zu unpacken.
« Letzte Änderung: März 10, 2009, 05:31:27 von DizzY_D » Gespeichert

Aktuelles Projekt:

Status: 5%
Real Coder doesn't code Visual Basic. Real Coder codes Opcodes.
f0Gx
Jr. Member
**
Beiträge: 60



Profil anzeigen WWW E-Mail
« Antworten #1 am: März 10, 2009, 11:58:55 »

Laufzeitfehler '75' unter Vista x64 SP1 (Fehler bei Zugriff auf Pfad oder Datei). Ich nehme an, die gedroppte .exe ist das Child, das Droppen an sich scheint zu funktionieren, ebenso wird auch der zweite Prozess erzeugt.
Gespeichert

» xor byte ptr [edi+78], al
G36KV
Newbie
*
Beiträge: 29


Profil anzeigen E-Mail
« Antworten #2 am: März 10, 2009, 01:14:50 »

Wow Nanomites in VB6? Da hat dich wohl ein Gürteltier gebissen Zwinkernd


Hätte echt nicht gedacht, dass sowas in VB6 möglich ist. Kannst du vielleicht ein kleines Code Snippet posten?
Wenn du noch hinbekommst, dass die geschützte exe nicht gedroppt wird, dann wäre es noch besser.

Da stellt sich mir auch die Frage, warum du so einen Aufwand mit VB6 betreibst. Das wäre doch in z.B. C/C++ viel angenehmer zu coden...

Achja in Win XP SP3 läuft das Teil bei mir nicht (da kommt immer "Error" Msgbox). Mit Win XP SP2 läuft es aber.
« Letzte Änderung: März 10, 2009, 05:56:41 von G36KV » Gespeichert
Slayer616
Entwickler Team
Spender
Moderator
Hat das Battle gewonnen
Sr. Member
****
Beiträge: 426


Profil anzeigen E-Mail
« Antworten #3 am: März 10, 2009, 01:45:56 »

Wenn man mit dem VB Decompiler drüber geht sieht man alles Lächelnd
Wofür brauchst du eig Hi.txt?
Gespeichert




Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
Und er will dich niederhalten mit Geschrei durch Bein und Mark
Mit Verboten und Zensur kann er zwar den Kampf erschweren
Doch niemals wird ein Richterspruch den freien Geist bekehren.

Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
Derer, die der Lüge dienen, denn schon bald werden sie fallen.
f0Gx
Jr. Member
**
Beiträge: 60



Profil anzeigen WWW E-Mail
« Antworten #4 am: März 10, 2009, 03:07:47 »

Zitat
Welche APIs man dazu braucht ist klar, aber der Rest irgendwie nicht (abfangen, zurückspringen).
Was meinst du mit "Zurückspringen"? Schau' dir mal genauer die Debug-APIs der MSDN an, alles weitere klärt sich von selbst.

Die .exe nicht zu droppen ist ja durchaus möglich (*hust* RunPE *hust*).

Dass das Ganze in C/Asm effektiver zu implementieren ist, sollte klar sein; mal sehn, wann DizzY auch soweit ist. Lächelnd

Ich warte noch auf die DEP/Vista x64-kompatible Version. Smiley
Gespeichert

» xor byte ptr [edi+78], al
DizzY_D
Official SC Leaker
Full Member
***
Beiträge: 104

296119081
Profil anzeigen E-Mail
« Antworten #5 am: März 10, 2009, 03:20:47 »

Okay anscheinend gibt es noch einige Bugs...

Sources werde ich auf keinen Fall veröffentlichen... sry

Auf tuts4you gibt es n gutes Tut zum Thema Nanomites... einfach mal suchen.

Dass ich das Child droppe lag daran, dass ich es gestern "auf die schnelle" ohne Aufwand implementiert hab.
Ich mache das net in C++, weil ich mich for der C++ Syntax förmlich ekelige xD.
Aber naja mal sehen wann sich das legt:)

@Slayer
Ich denke mal durch den Decompiler wirst du auch net viel von dem Code verstehen, oder?
Wenn du dich mal mit den Nanomites beschäftigst sollte klar werden, wozu die txt Datei da is und warum da so cryptische Zeichen drin stehn Zwinkernd

Ich werd mich jetzt mal ransetzten und einige Bugs fixen.

Edit:\\
Was ist denn mit den Anderen, die sich auch bedankt haben?
Läuft das Unpackme bei euch oder gibt es auch Fehler/startete es einfach nicht?
Bitte postet es dann hier damit ich Bugs fixen kann!!!!
« Letzte Änderung: März 10, 2009, 03:50:46 von DizzY_D » Gespeichert

Aktuelles Projekt:

Status: 5%
Real Coder doesn't code Visual Basic. Real Coder codes Opcodes.
Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #6 am: März 10, 2009, 04:34:14 »

Dizzy, kannst du mal den Link fürs Nanomite Tut posten? Habe mal gesucht, aber auf der Seite nur viele unpacking Tuts gefunden. Würde die Nanomites gerne auch in meinen Crypter einbauen.
Gespeichert

f0Gx
Jr. Member
**
Beiträge: 60



Profil anzeigen WWW E-Mail
« Antworten #7 am: März 10, 2009, 04:42:18 »

Kurzbeschreibung (in Anlehnung an Armadillo's Implementierung): Nanomites sind conditional jumps im Debuggee, die vom Debugger (die geschützte .exe) berechnet werden.

Zur Implementierung wäre die Debug-API der MSDN sowie eine (Length) Disassembly Engine zu nennen.
Gespeichert

» xor byte ptr [edi+78], al
DizzY_D
Official SC Leaker
Full Member
***
Beiträge: 104

296119081
Profil anzeigen E-Mail
« Antworten #8 am: März 10, 2009, 04:46:32 »

Zitat von: Zacherl;13584
Dizzy, kannst du mal den Link fürs Nanomite Tut posten? Habe mal gesucht, aber auf der Seite nur viele unpacking Tuts gefunden. Würde die Nanomites gerne auch in meinen Crypter einbauen.


http://tuts4you.com/download.php?view.1813

Wär nett wennde mal mein UnpackMe testen könntest und dann sagst ob es startet oder net und ob evtl. andere Bugs drin sind.
Gespeichert

Aktuelles Projekt:

Status: 5%
Real Coder doesn't code Visual Basic. Real Coder codes Opcodes.
Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #9 am: März 10, 2009, 05:12:08 »

Danke euch! Jap startet schonmal (Vista 64Bit). Werde später mal mein Glück versuchen ..
Gespeichert

EBFE
Full Member
***
Beiträge: 109


Profil anzeigen E-Mail
« Antworten #10 am: März 10, 2009, 05:17:31 »

Zitat
Was ist denn mit den Anderen, die sich auch bedankt haben?

Was soll denn mit uns sein Smiley ? Erste Version startet auf XP/Vista 32Bit.
Hier mal "unpacked" Version (Tabelle aus dem Vaterprozess kopiert und schnell per hand gefixt). Getestet mit XP/Vista 32 Bit
Gespeichert

PM an mich? Bitte vorher lesen: EBFEs PM FAQ
DizzY_D
Official SC Leaker
Full Member
***
Beiträge: 104

296119081
Profil anzeigen E-Mail
« Antworten #11 am: März 10, 2009, 05:32:58 »

N1 wieder mal EBFE...
Hast du den Bug benutzt (siehe erster Post edit) oder hast du den jump table in entschlüsselter Form aus dem Programm geholt?
Gespeichert

Aktuelles Projekt:

Status: 5%
Real Coder doesn't code Visual Basic. Real Coder codes Opcodes.
EBFE
Full Member
***
Beiträge: 109


Profil anzeigen E-Mail
« Antworten #12 am: März 10, 2009, 05:39:48 »

Nee, kein Bug. Einfach einen BP auf GetThreadContext/SetThreadContext gesetzt und geschaut, wo EIP ausgelesen und korrigiert wird - die Tabelle ist dann leicht zu finden.
Gespeichert

PM an mich? Bitte vorher lesen: EBFEs PM FAQ
G36KV
Newbie
*
Beiträge: 29


Profil anzeigen E-Mail
« Antworten #13 am: März 10, 2009, 06:00:26 »

Man könnte auch einfach raten wenn man die txt hat...

Code:
[START]
[#]00423C75
[#]1
[#]00423C92
[#]2

-> 00423C75 JMP 00423C92

Code:
[START]
[#]00423D05
[#]3
[#]00423D22
[#]2

-> 00423D05 JNZ 00423D22
Und das andere ist JE
Gespeichert
DizzY_D
Official SC Leaker
Full Member
***
Beiträge: 104

296119081
Profil anzeigen E-Mail
« Antworten #14 am: März 10, 2009, 06:05:11 »

@ EBFE
Aso stimmt das ist die beste Methode um das zu unpacken.
Trotzdem kriegst du von mir nur 9/10 Punkten, weil die Form sich nicht bewegen lässt.
Das original schon Lächelnd

@G36
Jo is wie gesagt eher ein PoC als ein ausgereiftes Unpackme.
Für den Anfang wollte ich den JMP Table möglichst übersichtlich halten.
Gespeichert

Aktuelles Projekt:

Status: 5%
Real Coder doesn't code Visual Basic. Real Coder codes Opcodes.
Seiten: [1] 2
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines | New Look by Nolt Prüfe XHTML 1.0 Prüfe CSS