primeiramente, queria avisar para as pessoas que querem ver as outras por
baixo que eu perguntei tanto para o PEACE quanto para
o ROOT se poderia postar algo tao complexo assim, ja que temos um apoio de um
team que usa pakers como themida/winlisense nos seus files.... mas ao
perguntar obti a resposta do amigo root que nao teria problemas em postar e
que poderia servir de grande ajuda.... portanto postarei...
-------------------Programas Utilizados-------------------OllyBDG
Phant0m (plugin do OLLY)
PEiD
ImportRec
obs: Não vou postar links...com excessao de alguns script de olly:
-------------------Indrodução para os programas-------------------
OllyBDG - Todos ja conhecem....
Phantom - é um plugin para o olly, usado para impedir o olly de ser detectado
pelo anti-debug do Themida/Winlisense
PEiD - Detecta bastantes programas que dão PACK em arquivos, criptadores e
compiladores para arquivos PE. Ele pode detectar mais de 600 tipos de
proteção em arquivos PE
ImportRec - "Import Reconstrutor" é uma ferramenta usada para fixar o arquivo
e reconstrui-lo após dar o UnpaCK.
Começando...
primeiramente você tem que ver qual é o sistema de pack do arquivo....
abra-o no PEiD. e verá algo parecido com isso:
Abra seu olly, tenha certeza que o phantom esteja configurado como abaixo.
Configure-o e abra Plugin/Phantom/Options. (para q as configurações tenham
efeito, é necessario reinciiar o OLLY.
após abrir o arquivo packeado no olly. olhe a linha em amarelo que irá
aparecer.... no meu caso B8 00 00 00 60, é o entry point usado pelo
Themida/Winlisense.
Pressione ALT+M para ir no painel de MemoryMap do olly. Vá um pouco mais a
baixoe terá uma pequena lista de msvcrt dentro do PE Header. olhe o exemplo
usando o C++ runtime.
Continuando, execute o script feito por OkDODO, entrando em
plugin/odbgscript/runscript/
comando dizendo que o script foi executado com sucesso. o Debugger irá parar
no OEP ( Original Entry Point ) do seu arquivo executavel.
Anote o OEP. Nós usamos ele antes. 00401151
Não fexe o olly ainda. Abra o seu importRec. Abra õ arquivo packed.
você poderá ver a caixa de status. Image Base: 00400000. ele irá calcular o
entrypoint de 00401151-00400000 = 1151
coloque isso na janela do OEP e precione IAT Auto Search. ele informará para
você que o OEP foi encontrado.
Precione Get Import para pegar todas todas as funções importadas.
la nos status de importação ira aparecer : YES. Wich means all imports
funcions pointer are match.
de um dump na image clicando com botao direito/advanced Commands/Select Code
Section(s).
Precione Full Dump e salve seu arquivo xxx_dump.exe.
Reconstruindo o dump no novo OEP. no menu principal. Precione Fix Dump, e
selecione o arquivo que acabamos de salvar xxx_dump.exe.
Após Reconstruir o dump o arquivo xxx_dump_.exe será criado. Agora abra o
arquivo xxx_dump_.exe e você conseguira abri-lo unpackeado... ou seja arquivo
unpacked ^^
espero que nao tenha ficado muito confuso, penso em fazer uma vide-aula
breve.
este procedimento foi testado com um arquivo de uma video aula que eu
axei....
creditos do tutorial:
NaM4 - RZBR + M.A.T Team
Agradecimentos ao Richie.
OBS: USE POR SUA CONTA E RISCO....ME RESPONSABILIZO PELO USO DESTES
RECURSOS...
OUTRA COISA, NAO VOU ESCLASCER DUVIDAS SOBRE OS UNPACK, JA DEI O CAMINHO, AGORA AXEM AS SUAS RESPECTIVAS CASAS ^^ (RESOLVI NAO TIRAR AS DUVIDAS DESTE TOPICO, PARA MANTER PRIVACIDADE DE ARQUIVOS DE ALGUMAS PESSOAS)
Abraços e espero que tenham gostado....
baixo que eu perguntei tanto para o PEACE quanto para
o ROOT se poderia postar algo tao complexo assim, ja que temos um apoio de um
team que usa pakers como themida/winlisense nos seus files.... mas ao
perguntar obti a resposta do amigo root que nao teria problemas em postar e
que poderia servir de grande ajuda.... portanto postarei...
-------------------Programas Utilizados-------------------OllyBDG
Phant0m (plugin do OLLY)
PEiD
ImportRec
obs: Não vou postar links...com excessao de alguns script de olly:
-------------------Indrodução para os programas-------------------
OllyBDG - Todos ja conhecem....
Phantom - é um plugin para o olly, usado para impedir o olly de ser detectado
pelo anti-debug do Themida/Winlisense
PEiD - Detecta bastantes programas que dão PACK em arquivos, criptadores e
compiladores para arquivos PE. Ele pode detectar mais de 600 tipos de
proteção em arquivos PE
ImportRec - "Import Reconstrutor" é uma ferramenta usada para fixar o arquivo
e reconstrui-lo após dar o UnpaCK.
Começando...
primeiramente você tem que ver qual é o sistema de pack do arquivo....
abra-o no PEiD. e verá algo parecido com isso:
Abra seu olly, tenha certeza que o phantom esteja configurado como abaixo.
Configure-o e abra Plugin/Phantom/Options. (para q as configurações tenham
efeito, é necessario reinciiar o OLLY.
após abrir o arquivo packeado no olly. olhe a linha em amarelo que irá
aparecer.... no meu caso B8 00 00 00 60, é o entry point usado pelo
Themida/Winlisense.
Pressione ALT+M para ir no painel de MemoryMap do olly. Vá um pouco mais a
baixoe terá uma pequena lista de msvcrt dentro do PE Header. olhe o exemplo
usando o C++ runtime.
Continuando, execute o script feito por OkDODO, entrando em
plugin/odbgscript/runscript/
o script rodará automaticamente. Após aparecer uma janela do prompt de
comando dizendo que o script foi executado com sucesso. o Debugger irá parar
no OEP ( Original Entry Point ) do seu arquivo executavel.
Anote o OEP. Nós usamos ele antes. 00401151
Não fexe o olly ainda. Abra o seu importRec. Abra õ arquivo packed.
você poderá ver a caixa de status. Image Base: 00400000. ele irá calcular o
entrypoint de 00401151-00400000 = 1151
coloque isso na janela do OEP e precione IAT Auto Search. ele informará para
você que o OEP foi encontrado.
Precione Get Import para pegar todas todas as funções importadas.
la nos status de importação ira aparecer : YES. Wich means all imports
funcions pointer are match.
de um dump na image clicando com botao direito/advanced Commands/Select Code
Section(s).
Precione Full Dump e salve seu arquivo xxx_dump.exe.
Reconstruindo o dump no novo OEP. no menu principal. Precione Fix Dump, e
selecione o arquivo que acabamos de salvar xxx_dump.exe.
Após Reconstruir o dump o arquivo xxx_dump_.exe será criado. Agora abra o
arquivo xxx_dump_.exe e você conseguira abri-lo unpackeado... ou seja arquivo
unpacked ^^
espero que nao tenha ficado muito confuso, penso em fazer uma vide-aula
breve.
este procedimento foi testado com um arquivo de uma video aula que eu
axei....
creditos do tutorial:
NaM4 - RZBR + M.A.T Team
Agradecimentos ao Richie.
OBS: USE POR SUA CONTA E RISCO....ME RESPONSABILIZO PELO USO DESTES
RECURSOS...
OUTRA COISA, NAO VOU ESCLASCER DUVIDAS SOBRE OS UNPACK, JA DEI O CAMINHO, AGORA AXEM AS SUAS RESPECTIVAS CASAS ^^ (RESOLVI NAO TIRAR AS DUVIDAS DESTE TOPICO, PARA MANTER PRIVACIDADE DE ARQUIVOS DE ALGUMAS PESSOAS)
Abraços e espero que tenham gostado....