Jump to content


Packer Detection


  • Please log in to reply
4 replies to this topic

#1 sangiiin

sangiiin

    Member

  • Members
  • PipPip
  • 12 posts

Posted 22 October 2013 - 12:38 PM

سلام

میخواستم از دوستان بپرسم برات تشخیص نوع پکر باید چیکار کرد ؟
از برنامه های پی ای اسکنر استفاده کردم ..
ولی فکر میکنم نمیشه بهشون اعتماد کرد ..
برای شروع باید چیکار کنیم ؟

یه تارگت دارم .. اسکن که میکنمش , بهم میگه
UPX [modified]
هست پکرش .. ولی با خوده یو پس ایکس که میخوام آنپکش کنم بعد آنپک (یعنی تو خوده آنپکش به مشکل نمیخوره) خوده برنامه که ران میشه , یه جاهاییش درست اجرا نمیشه ..
من زیاد وارد نیستم ..
ولی وقتی با دیباگر باز کردم فایل آنپک شده توسط یو پی ایکس و همراش با ایمپورت ریکریتور ایمپورت هایه فایل رو نگاه میکنم , همرو میزنه اینولید ...
همینجاش بیشتر منو میبره به این سمت که پکر یو پی ایکس نبوده .. یا شبیه یو پی ایکس بوده .. یا هدر هایه یو پی ایکس رو تو برنامه جا به جا کردن که به اشتباه بیفتیم ..
رو آی ای تی اتوسرچ میزنم , ایمپورت هاش ولید میشه و رو فایل دامپ شده از پلاگین اولی دامپ که سیوش میکنم .. باز همون قسمت هایی از برنامه که درست کار نمیکردن و از کار افتاده بودن کامل در واقع .. به همون صورتن ...
دوباره هم که فایل دامپ شده (اونی که ایمپورت هاش فیکس شده) رو با ایمپورت ریکریتور باز میکنم .. ایمپورت هاشو میزنه اینولید !!!!!
یا یو پی ایکس نیس از اول ......
یا با یه پروتکتوری , پروتکتشم کردن .. بعد با یو پی ایکس پکش کردن ...

هرکی میتونه کمکم کنه تو این تاپیک شرکت کنه لطفا ... برنامه رو بهش میفرستم ..
برنامه هم ایرانی نیس ..



ممنون از همه


یه استاد بزرگواری فرمودن RLpack استابش شبیه یو پی ایکس هست .. ولی R!LdePack رو نتونستم پیدا کنم , و حتی فیلم آموزشی ای تو یوتیوب ..!

یکی دو تا جنریک آنپکر استفاده کردم (اگه اشتباه نکنم dereko & GUnpack بود اسمشون) ... اونام فایلی که بیرون میدادن اصلا باز نمیشد .........


کسی آنپکر برای RLpack داره بزاره اینجا؟
  • 0

#2 Death Song

Death Song

    <ASA member>

  • ASA Admin
  • 267 posts
  • LocationAnti Security Agency

Posted 22 October 2013 - 01:00 PM

سلام دوست عزیز!

برنامتو تو olly باز کن اگه اولش اینطور بود پس 'یو پ اکس' هست اگه نبود نیست..

PUSHAD
MOV ESI,xxxxxxx
LEA EDI,[ESI+xxxxxxx]
PUSH EDI
OR EBP,FFFFFFFF
JMP SHORT xxxxxxx
 

برنامه‌های پ اسکنر هم این کد رو به صورت باینری داخل دیتابیس خودشون دارن ، و معمولا درست عمل می‌کنن !!

60 BE 00 E0 10 10 8D BE 00 30 EF FF 57 83 CD FF EB

حالا برنامه رو بذار اینجا بروبچ کمکت کنن.


  • 2

Posted Image

A.S.A


#3 sangiiin

sangiiin

    Member

  • Members
  • PipPip
  • 12 posts

Posted 22 October 2013 - 01:22 PM

RLdepackv1.5 رو پیدا کردم ..
با اونم به نتیجه ای نرسیدم .. شاید بد استفاده میکنم .. در بعضی موارد رو فایل کلیک میکنم .. انگار اجرا نمیشه برنامه .. هیچ پیغامی هم نمیده ..

فایل با این شروع میشه :
60 BE 00 B0 45 00 8D BE 00 60 FA FF C7 87 88 77 06 00 A7 F2 CB 83 57 83 CD FF EB 0E
PUSHAD
MOV ESI,pm400404.0045B000
LEA EDI,DWORD PTR DS:[ESI+FFFA6000]
MOV DWORD PTR DS:[EDI+67788],83CBF2A7
PUSH EDI  
 OR EBP,FFFFFFFF
JMP SHORT pm400404.0048971A

شبیه هه ...

ممنون از جوابت ..
فایل رو برات میفرستم یه نگاه بنداز بهش اگه وقت داشتی ...
ولی هرکی خواست براش پیام خصوصی میکنم ...

دمه همگی هم پیشاپیش گرم


پ.ن: نمیدونم چرا با هم پست نشد جوابم !
  • 0

#4 sangiiin

sangiiin

    Member

  • Members
  • PipPip
  • 12 posts

Posted 24 October 2013 - 11:01 AM

یکی از دوستان گفتند به خاطر وجود Overlay اینطوری شده ..

ولی وقت نداشتن اصلا توضیح بیشتر بدن ..

کسی در بارش میدونه کمک کنه ؟


  • 0

#5 AHA

AHA

    <Super Moderator>

  • ASA member
  • 111 posts
  • LocationRing_Zer0

Posted 26 October 2013 - 06:56 AM

في الحال : هذا عجيبا ولا بعيدا

 

خو چه کاریه که پیغام خصوصی؟؟ همینجا بزار دیدی کسی دستی روش کشید.

 

وقتی داده هایی ته فایل باشه و در اندازه سکشن ها هم وجود نداشته باشه overlay محسوب میشه. به عبارت دیگه سایز سکشن ها و .... از روی هدرها همه محاسبه و سایز فایل PE مشخص میشه دیگه، اضافه بر اون overlay میشه. مثلا تروجان و پسورد سندر ها که یک زمانی مینویشتیم ته فایل داده های لازم رو اضاف میکردیم و میخوندیم، بعدا رفتیم سراغ آپدیت کردن سکشن ریسورس و ...


  • 2
آنچه توانسته ایم انجام دهیم، لطف پرودگار بوده است.

تصویر





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users