Working with Import Tables part 2 Trong phần này chúng ta sẽ thực hiện dump tiến trình từ trong bộ nhớ và thực hiện sửa Bảng IMPORT “bằng tay”.. Rồi sau đó, chúng ta sẽ tạo một scripts
Trang 1User Name : kienmanowar Serial : 680496079 Cảm ơn các bạn đã đọc bài viết này của tôi Các bạn cứ chân thành góp ý để bài sau tốt hơn Thanx.!!!!!!!!!! :)
Chán quá, Chán thiệt…
Working with Import Tables (part 2)
Trong phần này chúng ta sẽ thực hiện dump tiến trình từ trong bộ nhớ và thực hiện sửa Bảng IMPORT “bằng tay” Rồi sau đó, chúng ta sẽ tạo một scripts để công việc trở nên đơn giản hơn
Tôi đã đóng gói Cruehead crackme với UPX 1.25, trở thành file
CRACKMEUPX.EXE để chúng ta thực hành
OK, Chúng ta chắc có lẽ cũng đã biết cách “gặt hái” OEP chứ Ưm, nếu có ai chưa biết, bạn hãy dùng phương thức PUSHAD
Phương thức này như sau:
1) Mở CRACKME trong OLLY
Phương thức PUSHAD bao gồm việc tìm kiếm lệnh PUSHAD, nó nằm ở những dòng đầu tiên của một vài các PACKERS (trình Đóng Gói) và hãy thực thi nó với F8
2) Rồi, bạn hãy tìm Thanh Ghi ESP và CLICK PHải chuột chọn FOLLOW IN DUMP
Trang 23) Sau đó chúng ta hãy nhìn trong cửa sổ DUMP rồi Click phải chuột chọn
Breakpoint-HARDWARE ON ACCESS -> DWORD
Nếu cần thiết, bạn có thể dùng Plugin IsDebuggerPresent để chống lại sự phát hiện của Trình Debugger sau đó run
Chúng ta sẽ thấy Olly ngưng ở một lệnh nhảy tới OEP Rồi F8 và chúng ta ở OEP
Giờ thì ta tới được OEP 00401000
Trang 3NẾu nhớ lại CRACKME trong tut 1 thì OEP này trùng với OEP của file lúc chưa
bị packed
Giờ chúng ta sẽ dump nhưng dừng dùng OLLYDMP để chỉnh sửa lại Import Table Tôi sẽ sử dụng Dumper của Plugin IsDug để tạo một file dump và sẽ chỉnh sửa bằng tay Chọn như sau:
Sau đó nó sẽ hỏi bản ImageBase và kích cỡ của ảnh file, vì thế trước khi nó hỏi thì chúng ta nên tìm cho ra những giá trị đó, chọn VIEW - > Executable modules (ALT+E):
Trang 4Ừm, trong hình trên, chúng ta thấy BASE là 0040000, và kích cỡ là 0B000 ( bạn nhớ có số 0 đằng trước B000 vì Olly có vấn đề với ký tự đầu tiên là chữ)
Sau đó chọn Dump
BẠn hãy chọn tên file cần dump , ừm nhớ có thêm phần mở rộng exe
Rồi, chúng ta có một file không có biểu tượng vì nó không có một định dạng đúng
Chúng ta có thể chỉnh sửa nó với Peeditor với việc chọn option FIXDUMP để sắp sếp lại các section
Chọn Sections trong Peeditor, chúng ta có:
Trang 5Trên hình biểu thị những section đã được dump mà chưa được sắp xếp lại một cách chính xác Click phải chuột chọn section tên UPX0, chọn như sau:
Chọn DumpFixer, rồi tiếp tục