 T..E..A..M...5..3...T..U..T..O..R..i..A..L..S...P..A..C..K...#..1..0 

   ÛÛÛÛÛÛßß ßÛ²Ü ßßßßßß ÜÛ²ß ßßßßßßßßß ÜÛ²ß ßßßßßßßßß ÜÛ²ß ßßÛÛÛÛÛÛ
   ²ß  ßÛÝ   ÞÛÛÝ      ÞÛÛÝ     Ü     ÞÛÛÝ    Ü²Ü    ÞÛÛÝ   Þ²ß  ßÛ
   ÛÛÜÜ²ß   ÜÛÛÛÛ²²  ÛÛÛ²Û²Ü   ß²ß  ÛÛÛÛÛ²Ü    ß   ÛÛÛÛÛ²Ü   ß²ÜÜÛ²
   ²ßß  ÜÜÛÛ²ß ÛÛÛÛ  ÛÛÛÛ ßß²²ÜÜ    ÛÛÛ² ßß²²ÜÜ    ÛÛÛ² ßÛ²²ÜÜ  ßß²
    ÜÜÛ²ÛßÛÛÝ  ÛÛÛÛ  ÛÛÛÛ     ÛÛ²²  ÛÛÛ²     ÛÛ²²  ÛÛÛ²  ÞÛÛßÛ²²ÜÜ
    ÛÛÛ²  ÛÛ²Ü ÛÛÛ²  ÛÛÛ²   ÜÜÛÛÛÛ  ÛÛÛÛ   ÜÜÛÛÛÛ  ÛÛÛÛ ÜÛÛ²  ÛÛÛ²
    ÛÛÛÛ  ÛÛÛ  ÛÛÛÛ  ÛÛÛ²ÜÛß  ÜÜÜÜ  ÛÛÛ²Ü²ß  ÛÛÛÛ  ÛÛÛÛ  ÛÛ²  ÛÛÛ²
          ÛÛÛ        ÛÛÛÛÛÝ   ÛÛÛ²  ÛÛÛÛÛÝ   ÛÛÛÛ  ÛÛÛÛ  ÛÛÛ  ÛÛÛÛ
    ASCII ÛÛ²   ÜÜ   ÛÛÛÛßÛÜ  ÛÛÛ²  ÛÛÛÛß²Ü  ÛÛÛÛ  ÛÛÛÛ       ÛÛÛÛ
    -XERO ÛÛ²  ßÛ²ß  ÛÛÛÛ     ÛÛÛÛ  ÛÛÛÛ     ÛÛÛ²  ÛÛÛ²   Ü   ÛÛÛÛ
    -2006 ÛÛÛ        ÛÛÛ²     ÛÛÛÛ  ÛÛÛ²     ÛÛÛ²  ÛÛÛÛ  ß²ß  ÛÛÛ²
          ßßß        ßßßßßßßßßßßßß  ßßßß     ßßßß  ßßßß       ßßßß
   ÛÛÛ²ßßßßßßßßßßß ßßÛ²ÜÜ ßßßßßß ÜÛ²Ü ßßßßßß ÜÜÛ²ßß ßßßßßßßßßßßÛÛÛÛ
   ÛÛÛÛß Ü²Ü        Ü ßÛÛ²²Ü ßÛÛ²ÜßßÜÛÛ²ß ÜÛÛÛ²ß Ü        Ü²Ü ßÛÛÛ²
   ÛÛÛÝ   ß  ßÛ²Ü  ß²ß ÞÛÛÛÛÝ ÞÛÛÛÝÞÛÛÛÝ ÞÛÛÛÛÝ ß²ß  ÜÛ²ß  ß   ÞÛÛÛ
   ÛÛß²Üß²Ü   ÞÛÛÝ Ü  ÜÛÛÛ²ß ÜÛ²²ß  ßÛÛ²Ü ßÛÛÛ²Ü  Ü ÞÛÛÝ   Ü²ßÜÛßÛÛ
   ÛÜ ÜÛÝÞÛÝ ÜÛÛ²ß ÜÜ²²ßßÜÜÛ²ßß        ßß²²ÜÜßßÛ²ÜÜ ßÛÛ²Ü ÞÛÝÞ²Ü Ü²
   Û²²ßßÜÛÛÛ²ßßÜÜ²²ßßÜÜÛ²ßß                ßß²²ÜÜßß²²ÜÜßß²ÛÛ²ÜßßÛÛ²
   ßÜÜÛÛ²ßßÜÜÛ²ßß  ÛÛÛÛ² ÜÜÜÜ ÜÜ ÜÜ ÜÜÜÜ ÜÜÜÜ ÛÛÛ²²  ßß²²ÜÜßßÛ²²ÜÜß
 Ü²ßÛÛ²ßÜÛÛÛ²ß     ÛÛÛÛ²  Û²  Û² Û²  Û²  Û²ÜÜ ÛÛÛÛÛ     ßÛÛ²²ÜßÛÛÛß²Ü
ÞÛÜ ÜÛÝÞÛÛÛÛÝ ÜÛ²Ü ÛÛÛÛÛ  ÛÛ  ÛÛÜÛÛ  ÛÛ  ÜÜÛ² ÛÛÛÛÛ ÜÛ²Ü ÞÛÛÛÛÝÞ²Ü ÜÛÝ
 ßÛ²ÛÛ²ÜßÛÛÛ²Ü ßß  ÛÛÛÛÛ ÜÜÜÜ ÜÜÜÜ   Ü   ÜÜÜ  ÛÛÛÛÛ  ßß ÜÛÛÛ²ßÜÛÛÛÛ²ß
   ÜßßÛÛ²ÜÜßßÛ²ÜÜ  ÛÛÛÛÛ Û  ² ÛÜÜ² ÜÛ²  ÛÛ Û² ÛÛÛÛÛ  ÜÜÛ²ßßÜÜÛ²²ßßÜ
   Û²ÛÜÜßÛÛ²²Ü     ÛÛÛÛÛ            Û²  ÛÛ Û² ÛÛÛÛ²     ÜÛÛÛ²ßÜÜÛÛ²
   Ûß ßÛÝÞÛÛÛÛ     ÛÛÛÛ²      ÜÜÛ²  Û²  Û² Û² ÛÛÛÛ²ÜÜÛ² ÛÛÛÛÝÞÛß ß²
   Û²Ü²ßÜÛßÛÛÛ     ÛÛÛÛ²  ÜÜ²ÛÛÛÛ² ßßßß  ßßß  ÛÛÛÛÛÛÛÛ² ÛÛ²ß²Üß²ÜÛÛ
   ÛÛÛÝ    ÛÛÛ     ÛÛÛÛÛÛ²ßß ÛÛÛÛÛ         ÜÜ²²ßß ÛÛÛÛÛ ÛÛÛ    ÞÛÛÛ
   ÛÛÛ²Ü   ²²²    ÜÛÛ²ßß     ÛÛÛÛÛ     ÜÜÛ²ßß     ÛÛÛÛÛ ²²²   ÜÛÛÛÛ
   ÛÛÛÛ ßÜ ±±± ÜÛÛÛ²ß        ÛÛÛÛÛ  ÜÛÛÛ²ß        ÛÛÛÛÛ ±±± Üß ÛÛÛÛ
   ÛÛÛÛ  ÞÝ°°°ÞÛÛÛÛÝ         ÛÛÛÛÛ ÞÛÛÛÛÝ         ÛÛÛÛÛ °°°ÞÝ  ÛÛÛÛ
   ÛÛÛÛ Üß     ßÛÛ²²Ü       ÞÛÛÛÛ²  ßÛÛ²²Ü       ÞÛÛÛÛ²     ßÜ ÛÛÛ²
   ÛÛÛ²ÞÝ  Ü²Ü             ÜÛÛÛÛÛÝ              ÜÛÛÛÛÛÝ Ü²Ü  ÞÝÛÛÛ²
   ÛÛÛ² ßÜ  ß          ÜÜÛÛÛÛÛ²²ß           ÜÜÛÛÛÛÛ²²ß   ß  Üß ÛÛÛ²
   ÛÛÛ²ÜÜÜÜÜÜÜÜ ÜÜÜÜÛÛÛÛÛÛ²²ßß ÜÜÜÜÜ ÜÜÜÜÛÛÛÛÛÛ²²ßß ÜÜÜÜÜÜÜÜÜÜÜÛÛÛÛ
              
 á¯ ª®¢ª  AsPack 2.12 á Olly

–¥«ì.......: AsPacked.exe
“à®¢¥­ì....: 2/10
ˆ­áâàã¬¥­âë: OllyDebugger, OllyDump Plugin
€¢â®à......: Mr_geek
¥à¥¢®¤....: NightCat \\ TEAM FIFTY THREE


* * * ‚áâã¯«¥­¨¥ * * *

‘¥£®¤­ï ¬ë á «¥£®­æ  à á¯ ªã¥¬ Aspack 2.12 ¨á¯®«ì§ãï Olly (¬®© «î¡¨¬ë©
¨­áâàã¬¥­â) :). Ÿ §­ î, çâ® íâ®â á¯®á®¡ à ¡®â ¥â ¨ ­  ¢¥àá¨¨ v2.1, ­®
­¥ ¢ ªãàá¥, à ¡®â ¥â «¨ ®­ á ®áâ «ì­ë¬¨.


* * *  å®¦¤¥­¨¥ ImageBase ¢ Olly * * *

‡ ¯ãáª ¥¬ Olly ¨ § £àã¦ ¥¬ âã¤  ­ èã æ¥«ì: AsPacked.exe («î¡®©
§ ¯ ª®¢ ­­ë© íâ¨¬ ¯ ª¥à®¢ ä ©« - ¯à¨¬. NCat).

®ï¢¨âáï ¯à¥¤ã¯à¥¦¤¥­¨¥ "Entry point Alert", ¯à®áâ® ­ ¦¬¨â¥ ŽŠ.

…á«¨ ¢ è ä ©« § ¯ ª®¢ ­ á ®¯æ¨¥© "max compression", â® ¯®ï¢¨âáï
á®®¡é¥­¨¥ "Compressed code?", ¯à®áâ® ª«¨ª­¨â¥ "no".

‘¯¥à¢  ¬ë á®¡¨à ¥¬áï ­ ©â¨ à §¬¥à ImageBase. ®á«¥ ï áª ¦ã § ç¥¬ íâ®
­ã¦­®.

 ¦¨¬ ¥¬ Alt+M, ®âªà®¥âáï ®ª­® Memory Map, áªà®««¨¬ ¢­¨§ ¯®ª  ­¥
ã¢¨¤¨¬ ¢ ª®«®­ª¥ "contains" â¥ªáâ "PE HEADER",   ª®«®­ª  "owner"
¤®«¦­  á®¤¥à¦ âì â¥ªáâ "AsPacked" (â.ª. ­ è ä ©« ­ §ë¢ ¥âáï
AsPacked.exe). Š«¨ª­¨â¥ ¯® íâ®© áâà®ª¥ ¯à ¢®© ª­®¯­®© ¬ëè¨, ¢ë¡¥àâ¥
¯ã­ªâ "Dump".

®ï¢¨áâï ¥é¥ ®¤­® ®ª®èª®.  §¢¥à­¨â¥ ­  ¢¥áì íªà ­ Ž«ìªã ¨ ®ª®èª®
"Dump" ¢ ç áâ­®áâ¨.  ¦¬¨â¥ ¯ àã à § PageDown ¨ ¢ë ã¢¨¤¨â¥ ®ç¥­ì
¬­®£® à §­®© ¨­äë. ˆé¨â¥ £« § ¬¨ áâà®ªã á®¤¥à¦ éãî "ImageBase".

’¥¯¥àì ¬ë §­ ¥¬ íâã á ¬ãî ImageBase, § ¯¨è¨â¥ §­ ç¥­¨¥, ®­® ­ ¬ ¥é¥
¯à¨£®¤¨âáï. ‡ ªà®©â¥ ®ª­  "Dump" ¨ "Memory Map".


 
* * * € â¥¯¥àì § ©¬ñ¬áï à á¯ ª®¢ª®© * * *

ˆâ ª, ¬ë ­ å®¤¨¬áï ­  Entry Point ­ è¥£® "AsPacked.exe", ¯àï¬® ­ 
ª®¬¬ ­¤¥ PUSHAD.  ¦¬¨â¥ F8 ¨ ¬ë ®ª ¦¥¬áï ¢ call. à ¢ë© ª«¨ª ¯®
§­ ç¥­¨î ESP á«¥¢  ¨ ¢ë¡¥à¨â¥ ¯ã­ªâ "Follow In Dump".

‚ à §¤¥«¥ Dump ¢ë¡¥à¨â¥ 4 ¯¥à¢ëå ¡ ©â , ¯à ¢ë© ª«¨ª, ¢ë¡¨à ¥¬ ¯ã­ªâ
BreakPoint -> Hardware, on access > Dword.

 ¦¨¬ ©â¥ F9 ¯®ª  ­¥ ã¢¨¤¨â¥ çâ®-â® ¢®â â ª®¥:

004053B0 | 75 08         |  JNZ SHORT As.004053BA
004053B2 | B8 01000000   |  MOV EAX,1
004053B7 | C2 0C00       |  RETN 0C
004053BA | 68 00 104000  |  PUSH As.00401000
004053BF | C3            |  RETN

†¬ñ¬ F8 ¯®ª  ­¥ ¤®©¤ñ¬ ¤® RETN. ®£¤  ¤®áâ¨£«¨ ¦¬ñ¬ F7, çâ®¡ë
âà¥©á ­ãâìáï :) ¢­ãâàì. ‚Ž’ ’……œ ¢ë ­  Original Entry Point
(OEP)... ¥á«¨ ¢ë ¢¨¤¨â¥ ¬­®£® "DB", â® ¯à®áâ® ¯à® ­ «¨§¨àã©â¥ ª®¤
¥é¥ à § ("Analysis > Analyse code"). 

ˆâ ª, ª ª ï áª § «, ¬ë ­ å®¤¨¬áï ­  OEP, § ¯¨è¨â¥ íâ®â  ¤à¥á (¢ ¬®ñ¬
á«ãç ¥: 401000).

’¥¯¥àì ­ ¬ ­ã¦­® á¤ ¬¯¨âì ä ©«. ’ ª çâ® ­ ¬ ­ã¦¥­ ¡ã¤¥â ®ääá¥â OEP.
Š ª ¥£® ­ ©â¨? ‹¥£ª®: 
Offset = Address - ImageBase, â ª çâ® ¢ ¬®ñ¬ á«ãç ¥¬ ¡ã¤¥â ¢®â â ª: 

401000 - 400000 = 1000... offset OEP = 1000.

‡ã¯ãáª ¥¬ Ollydump, ¯®áâ ¢ìâ¥ £ «ªã ¢ ¯ã­ªâ¥ "Rebuild Import", ¢¯¨è¨â¥
offset ­ è¥© OEP ¢ ¯®«¥ Modify ¨ ­ ¦¬¨â¥ "dump". ‘®åà ­¨â¥ ä ©«. 

‚®â ¨ ¢áï à á¯ ª®¢ª . :)

====================================================================
TEAM-53 TUTORiALs \ \ www.TEAM-53.org \ \ #team-53,   IRC.BYNETS.ORG
====================================================================