Tutorialreihe~fr33k

[fr33k]

(04.11.2010, 23:28)sILeNt heLLsCrEAm schrieb: Aber eine Sache hätte ich trotzdem noch beizutragen...
Versuch(t) mal diese Datei im Anhang mit FreeUPX oder UPX selbst zu entpacken...

das meinte ich, hatte keine probleme, zumindest nicht beim manuall^^

[iNvIcTUs oRCuS]

Ja... Und was habe ich geschrieben??? Mit FreeUPX oder UPX selbst entpacken! Das dass nachwievor mit dem manuellen entpacken geht is schon klar. Aber man muss sich mal vor Augen halten das viele Script Kiddys einen solchen Generic Unpacker nutzen und wenn dieser dann ins leere schießt geben sie schon auf weil sie keinen Plan weiter haben... Mir ist natürlich klar das dass einen "Fortgeschrittenen" bzw. Profi nicht aufhalten kann. Das war auch ganz und garnicht meine Absicht.
Anbei noch gesagt... Da ist kein großartiger Eingriff nötig um das so zu realisieren das ein Unpacker durcheinanderkommt.

[Acubra]

Habs schnell in den PE Explorer geworfen und das UPX Plugin von dem hats auch gepackt.
Soweit ich das gesehen habe hast du einfach nur ein Byte bei der VA 400013 verändert...

[fr33k]

(05.11.2010, 00:10)sILeNt heLLsCrEAm schrieb: Ja... Und was habe ich geschrieben??? Mit FreeUPX oder UPX selbst entpacken! Das dass nachwievor mit dem manuellen entpacken geht is schon klar. Aber man muss sich mal vor Augen halten das viele Script Kiddys einen solchen Generic Unpacker nutzen und wenn dieser dann ins leere schießt geben sie schon auf weil sie keinen Plan weiter haben...

Okay das habe ich dann falsch verstanden, dachte hast noch weng kleine Spielereien mit rein gemacht

[iNvIcTUs oRCuS]

Yep richtig... Ich behaupte natürlich nicht das es mit jedem Generic Unpacker nicht zu schaffen ist... Kann auch sein das FreeUPX selbst direkt auf UPX aufbaut das hab ich aber nicht weiter nachverfolgt. Ich wollte ganz einfach nur mal zeigen was so alles möglich ist um UPX beim entpacken ins trudeln zu bringen.

[ABartX]

hi fr33k
setzt du deine tutorialreihe noch fort?

[fr33k]

(21.01.2011, 00:21)ABartX schrieb: hi fr33k
setzt du deine tutorialreihe noch fort?

Aufgrund der tatsache, das sich einige negativ geäussert haben, denke ich nicht, das ich dieses Tutorial weiterführen werde.

[xXGodfatherXx]

(21.01.2011, 00:31)fr33k schrieb:

(21.01.2011, 00:21)ABartX schrieb: hi fr33k
setzt du deine tutorialreihe noch fort?

Aufgrund der tatsache, das sich einige negativ geäussert haben, denke ich nicht, das ich dieses Tutorial weiterführen werde.

welches tutorial meinst du? ich hoffe ma nich das mit no recoil

[iNvIcTUs oRCuS]

(04.11.2010, 22:52)Acubra schrieb: Ich meine warum setzen wir einen Hardware Breakpoint on Access , bzw. warum ändert sich das ESP Register überhaupt und generell , warum das ESP Register und nicht EAX, ECX, EDX, EBX, EBP, ESI oder EDI?

Dazu muss man wissen was die einzelnen Register darstellen bzw. zu was diese eigentlich gedacht sind. Das ESP Register ist das Extended Stack Register. Wenn man wie ich aus der Reversing Szene kommt, kommt man man nicht um den Stack Frame drumrum. Dazu muss man auch verstehen wie sich das mit den Stackoperationen verhält - Sprich Aufrufkonventionen, wie wird vom Stack gelesen, wie wird auf den Stack geschrieben und solche Sachen. Ganz einfach - Was ist der Stack und wie ist er zu verstehen?!
Ich werde hier nicht weiter das Ganze erläutern denn die Bedeutung des Stacks und speziell die Funktion des ESP Registers kann man auf unzähligen Internetseiten, allen voran Wikipedia, selbst nachlesen und würde in diesem Sinne auch den Rahmen sprengen.

Vielmehr stellt sich aber die Frage - Warum muss ich diesen Packer erst entpacken??? Antwort - Muss man nämlich garnicht... Selbst wenn man eine gepackte Anwendung bzw. Spiele EXE patchen möchte brauch man noch nichtmal die EXE entpacken.

[Acubra]

(06.02.2011, 20:51)sILeNt heLLsCrEAm schrieb: Dazu muss man wissen was die einzelnen Register darstellen bzw. zu was diese eigentlich gedacht sind. Das ESP Register ist das Extended Stack Register. Wenn man wie ich aus der Reversing Szene kommt, kommt man man nicht um den Stack Frame drumrum. Dazu muss man auch verstehen wie sich das mit den Stackoperationen verhält - Sprich Aufrufkonventionen, wie wird vom Stack gelesen, wie wird auf den Stack geschrieben und solche Sachen. Ganz einfach - Was ist der Stack und wie ist er zu verstehen?!
Ich werde hier nicht weiter das Ganze erläutern denn die Bedeutung des Stacks und speziell die Funktion des ESP Registers kann man auf unzähligen Internetseiten, allen voran Wikipedia, selbst nachlesen und würde in diesem Sinne auch den Rahmen sprengen.

Hey,
ich weiss jetzt nicht ob du deine Antwort auf mich bezogen hast, aber auch ich habe mich schon mit dem Stack auseinander gesetzt (setzen müssen). Ich habe die Fragen nur gestellt, weil ich der Meinung bin das solche Fragen bei einem Anfänger aufgetaucht wären.

(06.02.2011, 20:51)sILeNt heLLsCrEAm schrieb: Vielmehr stellt sich aber die Frage - Warum muss ich diesen Packer erst entpacken??? Antwort - Muss man nämlich garnicht... Selbst wenn man eine gepackte Anwendung bzw. Spiele EXE patchen möchte brauch man noch nichtmal die EXE entpacken.

Einfache Packer dienen, wie da Name ja schon sagt, nur dazu die Größe der .exe zu verringern bzw. zu "packen". Das der gesamte Code dann zur Runtime wieder entpackt werden muss, sollte klar sein. Somit steht der Code wieder völlig normal im Speicher und kann nach wie vor leicht verändert werden.
Wenn man jedoch die .exe patchen möchte, finde ich es um einiges leichter eine nichtgepackte .exe zu patchen, da man sich nicht mit der Entpackungsroutine des Packers beschäftigen muss.