RE5: Pack & UnPack

I. Giới thiệu về Pack & UnPack Trong các lĩnh vực nghiên cứu nằm trong chủ đề Reverse Engineering, Pack&UnPack giống như là một câu ...

I. Giới thiệu về Pack & UnPack
Trong các lĩnh vực nghiên cứu nằm trong chủ đề Reverse Engineering, Pack&UnPack giống như là một câu đố thú vị nhất cần được giải đáp. Trong quá trình tìm kiếm lời giải cho câu đố này, người thực hiện sẽ thu được rất nhiều kiến thức cả về cách thức sử dụng công cụ, các tricks trong RE cùng các kiến thức chuyên sâu về kiến trúc bên trong của hệ điều hành.

Các Packer được tạo ra để bảo vệ các file thực thi trước nguy cơ bị dịch ngược và phân tích. Chúng thường được sử dụng một cách hợp pháp trong các phần mềm thương mại để bảo vệ thông tin, tránh bị xáo trộn và rò rỉ, bị đánh cắp. Tuy nhiên thật không may, các phần mềm nguy hiểm cũng được pack với những lý do tương tương tự nhưng để phục vụ cho mục đích xấu.

Cùng với sự phát triển của nhiều phần mềm nguy hiểm có sử dụng kỹ thuật Pack, các nhà nghiên cứu và chuyên gia phân tích mã độc đã phát triển các kỹ thuật để unpack và phân tích các mẫu thu thập được.

Theo thời gian, các kỹ thuật anti-reversing mới được bổ sung vào các packer, gây khó khăn cho quá trình reverse và phân tích, ngăn chăn việc unpack thành công các mẫu mã độc.
Và một vòng luẩn quẩn xuất hiện – các kỹ thuật anti-reversing được phát triển đồng thời với các công nghệ, công cụ trợ giúp các nhà nghiên cứu vượt qua nó.



II. Các nội dung cần chú ý
1. OEP

Trước khi tìm hiểu về Original Entry Point(OEP) ta cần biết về Entry Point(EP).
Để 1 chương trình được thực thi, nó cần được load lên memory, sau khi Windows hoàn thành công việc này, nó sẽ chuyển quyền điều khiển cho file .exe. Địa chỉ trên bộ nhớ của câu lệnh đầu tiên của file .exe được thực thi chính là EP.
Đối với 1 file đã bị pack, nói đến EP ta sẽ hiểu là Entry Point của file sau khi Pack. Còn OEP là EP của file gốc trước khi bị pack.

2. IAT

Import Address Table(IAT) chứa các địa chỉ hàm API mà chương trình sử dụng.

3. Các công cụ thường sử dụng

Các công cụ thương sử dụng cần phải kể đến:
PEiD, OllyDBG, ImportREC, LordPE,...


III. Các bước cơ bản trong quá trình UnPack
Trong bài viết này sử dụng mẫu FireWorx Crackme14 – link.

1. Tìm OEP


Trước khi load file Crackme14.exe vào Olly, ta kiểm tra trước bằng PEiD.



Như vậy file exe này đã được pack bằng ASPack 1.06b / 1.061b -> Alexey Solodovnikov.

Load file lên Olly, trả lời No khi được hỏi có Analysis hay không.



Ta sẽ bắt đầu ở đoạn code sau:


F8 để thực hiện đến địa chỉ: 0x00451000



Để ý câu lệnh PUSHAD và POPAD. Thường là 2 câu lệnh bắt đầu và kết thúc công việc giải mã đoạn code thực thi của chương trình gốc.
Sau lệnh POPAD là lệnh JMP EAX. F8 để thực thi đến câu lệnh này.

EAX mang giá trị 0x4419F8 chính là OEP.
Và đây là đoạn code tại 0x4419F8.


Giữ nguyên cửa sổ Olly và sử dụng OllyDump để dump file thực thi sau khi được giải mã.


Lưu file dump với tên bất kỳ và đuôi là exe.

Chúng ta hoàn thành bước đầu tiên của việc Unpack.


2. Fix IAT

Giữ nguyên Olly và sử dụng ImportREC để chỉnh sửa các thông tin của file dump.
Load chương trình vào ImportREC và điền OEP vừa tìm được bên trên vào ô OEP và chọn IAT AutoSearch. Sau đó lựa chọn Get Imports, cuối cùng là Fix Dump. Kết quả ta có file dump mới được tạo ra.




3. Làm sạch và giảm kích thước file sau khi UnPack

Để hoàn thiện và giảm kích thước của file thu được sau khi Fix Dump, ra sử dụng LordPE.


Chạy LordPE, lựa chọn Rebuild PE và lựa chọn file thu được sau khi Fix Dump.
Click Ok và hoàn thành quá trình Unpack.

Kiểm tra lại với PEiD

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Affiliate,1,Anotador,1,AutoIT,17,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,169,Bất Động Sản Tại Tiền Giang,5,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,camera,1,ceh,1,Châu Tinh Trì,2,Checked,6,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,Dau tu,8,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,3,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,16,ebook free,295,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,76,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,16,Hacking and Security,6,Hacking Tools,36,Hành Động,3,He Thong Site Phim,25,Hijacking,6,Hình Sự,1,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,32,Khóa Học kiếm tiền online với accesstrade,5,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,2,Khoa Huyễn,6,khuyến mãi,16,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,34,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,24,Kinh Dị - Ma,4,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lược Sử Hacker,2,Mã Giảm Giá,2,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,nhà đất,1,Nhà Đất Gò Công,1,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,76,Pen-Test,6,Pentest Box,9,Phan mem Internet,1,phanmem,23,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,39,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoạt Hình,2,Phim Hot,1,Phim Hồng Kông,20,Phim HQ,2,Phim Kinh Dị,8,Phim lẻ,4,Phim Mới 2011,2,Phim Mới 2012,1,Phim Mới 2015,1,Phim Nhật Bản,4,Phim SD,3,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,19,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,post mẫu,1,prc,77,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,review,3,rút gọn link,1,sach,47,Sách,35,Sách Nghệ Thuật Sống,12,sách nói,1,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,shop,1,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Chính,1,Tài chính cá nhân,2,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,them,1,Thiệp Cưới,1,Thiết Kế Web,30,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,1,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,94,tiki,3,TIL,8,Tin Tức,52,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,1,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,1,Việt Nam,4,Virus,4,Võ Thuật,3,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
Nhựt Trường - Chia sẻ kiến thức miễn phí: RE5: Pack & UnPack
RE5: Pack & UnPack
http://forum.whitehat.vn/attachment.php?attachmentid=2386&stc=1
Nhựt Trường - Chia sẻ kiến thức miễn phí
https://www.nhuttruong.com/2016/10/re5-pack-unpack.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2016/10/re5-pack-unpack.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy Table of Content