Kysymys:
Kuinka purkaa useilla pakkaajilla pakatut tiedostot?
Higet
2013-07-28 22:27:09 UTC
view on stackexchange narkive permalink

Koska olen vasta aloittamassa RE-palvelua, olen enimmäkseen kohdannut tiedostoja, joissa on yksikerroksinen pakkaus, kuten UPX, ASPack jne.

Näiden suojausten purkaminen on täysin dokumentoitu verkossa. Ongelma alkaa, kun käsittelen useita pakkauskerroksia , erityisesti haittaohjelmien suhteen. Olen seurannut joitain opetusohjelmia, vaikka ne eivät yleensä ole riittävän yksityiskohtaisia. He näyttävät käyvän läpi tylsän prosessin löytää OEP. He aloittavat esimerkiksi tekemällä yhteisiä pakkaajia (mikä on helppoa osaa) ja sitten he alkavat asettaa katkaisupisteitä kaikkialle " puheluissa ja hyppyissä " ja jäljittää tiedoston täältä ja täältä minulle vaikea osa , jonka olen edellä kuvannut. Tässä vaiheessa minulla ei ole aavistustakaan siitä, mitä he etsivät tai mihin he pyrkivät, ja sitten jonkin työn jälkeen he löytävät OEP: n!

Mitä logiikkaa he noudattivat tässä prosessissa? Koska tiedän, että aihe on laaja, olen kiinnostunut myös joistakin avainsanoista.

Mielestäni tarkoitat hämärtymistä, koska esimerkiksi upx ei ole salaus, vaan työkalu suoritettavien tiedostojen pakkaamiseen.
Aiheeseen liittyvä: http://reverseengineering.stackexchange.com/questions/72/unpacking-binaries
Kaksi vastused:
PhoeniX
2013-07-28 23:23:13 UTC
view on stackexchange narkive permalink

Kuten itse huomasit, RE ei ole helppo taito saavuttaa. On löydettävä niin paljon kärsivällisyyttä (ainakin) kuin mahdollista sen hankkimiseksi, myös älykkyys ja tieto auttavat. Jos luulet, että seuraamalla opetusohjelmaa ymmärrät kaiken sen ensimmäisestä lukemisesta, niin olet väärässä.
Neuvoni sinulle on:

  • lue opetusohjelma useita kertoja ja yritä välittää se tarkastelematta kirjoituksia
  • yritä ymmärtää niin paljon kuin pystyt kääntyvästä käyttöjärjestelmästä / alustasta
  • hallita PE-muotoa alussa tai tiedostomuodossa olet tekemisissä
  • lue pakkaajista ja hämärtymistekniikoista

Sen jälkeen olen melko varma, jos palaat tuohon tuttiin uudelleen, ymmärrät sen selvemmin.

Tässä on hyviä resursseja:

  1. Haittaohjelmien purkaminen Ollydbg: stä
  2. OEP: n etsiminen ja pakattujen haittaohjelmien purkaminen ASPACK 2.12: n kanssa - kokeile, vaikka sanoitkin, törmäsit vastaaviin.
  3. Fravian käänteisen tekniikan arkistosivut
  4. PE-tiedostomuodosta

Olkoon voima kanssasi :)

Palaniyappan Bala
2014-01-08 20:51:49 UTC
view on stackexchange narkive permalink

Tiedoston pakkauksen purkamiseksi sinulla on oltava melko paljon kokemusta binäärien peruuttamisesta.

Muista, ettei universaalia menetelmää ole olemassa kaikille pakkaajille.

Nämä vaiheet työskentele purkamalla 97% binääreistä;

  1. Sinun on oltava tietoinen koodista, joka yleensä on tunnettujen kääntäjien VC ++, VB, Borland Delphi ja muiden kääntäjien kääntämissä binääreissä aloituskohdan alussa. . Sinun tulisi myös olla tietoinen koodin erosta lähdekohdan lähellä eri kääntäjäversioissa kootuissa binääreissä. Tämä auttaa sinua lopulta löytämään OEP: n.
  2. Sinulla on oltava runsaasti kärsivällisyyttä seurataksesi virtuaalimuistin allokointia ja virtuaalisen muistin vapauttamista.
  3. Tyhjennä muistilohkot ja etsi näkyviä merkkijonoja. salauksen purkukoodin suorittamisen jälkeen.
  4. Lue lisätietoja virheenkorjauksen havaitsemisesta, virtuaalisen ympäristön havaitsemisesta ja virheenkorjauksen torjunnasta.
  5. Aloita aluksi yksinkertaisista pakkaajista. Suosittelen sinua kokeilemaan UPX: n vanhempia versioita.
  6. Viimeisenä mutta ei vähäisimpänä "Pelaa suosikkivirheenkorjaimesi kanssa vähintään 14 tuntia päivässä."

Kaikki paras ja onnellinen peruutus !!!

Mielestäni # 6 vie kakun!


Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 3.0-lisenssistä, jolla sitä jaetaan.
Loading...