|
|
| |FSG
- what do you want to unpack today?| - ZIP FILE -> GET |
Sciagamy
fsg.zip z ctrl-d i.. wow - w paczce jest INSTALER! w koncu to nie do
pomyslenia, zeby taki zwyczajny, szaro-bury, glupi cracker umial
rozpakowac sobie jednego, jedynego, samotnego niczym palec, rara
[duh]. dzieki bogu, bart o wszystkim pomyslal i nie musimy sie
glowic nad depakowaniem archiwow. zaraz! a jesli ktos nie bedzie
potrafil skorzystac z zalaczonego instalerka?! skoro koles nie
potrafi rozpakowac sobie rara, to przeciez nie mozna od niego
wymagac znajomosci takich tworow jak warezowe instalery.. w trosce o
moich szanownych czytelnikow, zamieszczam mini-instrukcje obslugi:
1. rozpakuj sobie zipa do jakiegos katalogu :>
2. kliknij 2x na instal.exe [albo raz jesli masz win98]
3. popatrz, posluchaj, no i przedewszystkim poklikaj sobie gdzies po
okienku - bedom wtedy chmurki latac :)
4. kliknij 'nfo' i zobacz co tez tam ciekawego maja madafakersi do
powiedzenia
5. znow sobie poklikaj
6. odprez sie [mozesz zagrac np. w sapera, albo w jakas inna
strzelanke]
7. kliknij sobie jeszcze ze dwa razy :)
8. teraz nadchodzi najwazniejszy moment.. skoncentruj sie.. kiedy
dolicze do trzech, obudzisz sie i nie bedziesz nic pamietal, o sorry
nie ten txt :). ... wiec jak juz mowilem, klepnij napis 'instal'
9. wybierz 'folder docelowy'
10. 3x krzyknij 'hamahamahama' i pomodl sie do boga, zeby sie
rozpakowalo
jesli sumiennie wykonales wszystkie kroki, fsg.exe [15kb] powinien
znajdowac sie w 'katalogu docelowym'. w przypadku gdy nie znajdziesz
nigdzie w/w pliku, powtórz wszystkie kroki od poczatku, ze
szczegolnym uwzglednieniem okrzyku 'hamahamahama' - to b.wazne!
ok, so masz juz ten nieszczesny paker i zapewne zdarzyles sie z nim
zapoznac. moze warto sprawdzic czy upx rzeczywiscie daje przy nim
dupy?
| notepad.exe | calc.exe | crack**
| [57344] | [94208] | [5632]
-------------------+--------------+---------------
upx | 21504 [266%] | 31232 [301%] | 4096 [137%]
-------------------+--------------+---------------
fsg | 21280 [269%] | *38048[247%] | 2544 [211%]
--------------------------------------------------
* == progi wywala sie po uruchomieniu
** == przecietny crack wygenerowany crack-makerem Ptaska [yo!]
widac jak na dloni, ze przy pakowaniu zwyklych progow, fsg sucks.
natomiast jesli chodzi o male cracki/keygeny naklepane w asm, upx
daje dupy na calej linii :).
teraz zajmiemy sie depakowaniem..
odpal fsg, kiedy pojawi sie dialog z prosba o wybranie pliku,
uruchom procdumpa, zaznacz w 'options' rebuild new import table i
daj full dump. otworz dumpa, zmien entry point na 1000 i..
wheee prog dziala bez szemrania :). jesli chcesz polookac na
listing, zmien atrybuty pierwszej sekcji na Exxxxxxx [oczywiscie w
procdumpie]. co widac? smieci :(, ale na to tez jest sposob - odpal
shithuntera [jesli nie jest dolaczony, mozna znalezc na
crackmes.prv.pl] i po klopocie :).
no, moze nie zupelnie - u mnie ciagle sie wywalal, ale jest na to
szybki sposob: bpx messagebeep, odpalamy huntera, bpx 40106c if ecx==2a2d,
a kiedy sie zlapie r eip 401089. ktos moze sie dziwic why do diabla,
trzeba zmienic ep na 1000h? otoz 1000h to oryginalny entry point! w
rozpakowanym pliku procka depakera moze narobic balaganu, wiec
nalezy ja ominac!
oke, wiemy juz jak recznie rozpakowac FSG. teraz przydaloby sie ten
proces zautomatyzowac, czyli:
1. napisac depaker
2. napisac skrypt do procdumpa
nie wiem jak Wy, ale ja wole opcje nr 2 :P. zeby napisac skuteczny
skrypt, musimy wyczaic miejsce gdzie uzywany jest oryginalny
entrypoint. look na poczatek procki depakujacej:
mov ebp, costam
mov edi, 401000h
401000 to entrypoint rozpakowanego kodu. dysponujac ta informacja,
juz w tej chwili mozemy napisac dobry skrypt..
[FSG]
L1=WALK
L2=WALK
L3=BPR EDI
L4=EIP
L5=STEP
WALK - przejscie nad jedna instrukcja
BPR - pulapka na rejestrze, w tym wypadku edi
EIP - adres tymczasowy staje sie entry-pointem
STEP - koniec :)
po pierwszym WALK jestesmy na instrukcji mov edi, 401000h, po drugim
WALK w edi jest juz adres naszego ep, wiec ladujemy BPR EDI, zeby
intrukcja EIP zadzialala poprawnie - pobiera ona adres 'tymczasowy',
ktory dzieki BPR EDI rowna sie entry-pointowi!
zeby 'zainstalowac' plugina, wchodzimy do script.ini, do pola [index]
dodajemy P1D=FSG [jesli ostatni wpis == 1c], a gdzies nizej wklejmy
[FSG]
L1=WALK
L2=WALK
L3=BPR EDI
L4=EIP
L5=STEP
Problem w tym, ze ten skrypcik dziwnie sie zachowuje - raz wywala
wyjatek, raz uruchamia depakowanego proga, no w ogole cuda :).
faktem jednak pozostaje, iz depakowac nim mozna :).
spakuj cokolwiek, np. shithuntera [zajebioza - ratio ok. 50%!] i
rozpakuj go procdumpem - costam sie popluje, a potem ladnie zapisze
na dysk :). btw., bardzo interesujace sa rozmiary po zdepakowaniu -
np. hunter[2kb] rozrosl sie do 14kb.. ale wracajac do tematu - jesli
koniecznie chcesz dostac unpakniety exek, pusc procdumpa, wejdz do
katalogu z twoim progiem i kiedy wyskoczy info o bledzie, skopiuj
gdzies $$temp$$.$$$, a potem zmien rozszerzenie na exe i viola :).
podsumowujac - FSG to *najlepszy* paker do malych programow! jesli
skompilowales crackme/crack/keygena/intro/co tam jeszcze, to niech
ci nawet przez mysl nie przejdzie upx :)
Ged_/crackpl
ged@terrorysci.org |
|
