Ручная расспаковка Simple PE Crypter Beta 3 (SPEC)
Автор.......: CoDe_iNSiDE
Автор.Пакера: Hayras
Перевод.....: NightCat//TEAM-53
Инструменты.: SoftICE
              ProcDump
              Hex-Editor


На этот раз нам попался Simple PE Crypter. ;)
Я буду рассказывать всё быстро. так что я предполагаю, что вы уже знакомы с распаковкой. ;P


Слово Автору Пакера:

Это очень простой и ограниченный криптер, Он лишь шифрует секции code и data. Никакого анти-дебага или компрессии.


Поехали!

Загружаем упакованный файл в "PE Editor" в ProcDump. Смотрим на "Entry Point" нашего файла и видим, что там: 0000D000.

Теперь заглянем в Секции ("Sections"), ищем там "Raw Offset". Теперь открваем наш файл в Hex-редакторе и диём к OEP, заменяем байт на "CC" (int 3). Конечно стоит запомнить и оригинальный байт. :) Сохраняем файл и ставим брейк поинт на "int 3" (bpint 3) Запускаем и опа... SoftICE.

Теперь меняем "CC" назад на оригинальный байт и трейсимся вниз до того, как увидим вот такое:

mov eax, [ebp+00402692]
add eax, [ebp+0040268D]
jmp eax

EAX содержит нашу настойщую OEP, так что хзапоминаем и идём к "jmp eax". Используем приёмчик "EBFE", выходим из софт-айса и открываем ProcDump.

Правой кнопкой по файлу и жмём "DUMP (full)" и сохраняем файл. Затем открыаем файл в "PE Editor" и меняем OEP на настойщую OEP, ну исамо собой не забываем поменять "EBFE" назад, осхраняем файл и всё. :P

Чтобы избавиться от секции "hayras" просто убейте её в "PE Editor" в ProcDump'a. :) Вот и всё.


Заключение

Ну что ж, это бы быстрый тутор, т.к. схема одна и та же для всех упакованных файлов. :) Вот почему я не хочу писать подробно, это лишнее. И да, еще кое-что. Вы наверное заметили, что тут меняется таблица импорта, так что дампьте файл до того, как она поменяется. :)

Don't trust the Outside, trust the InSiDe !!!
Email:	code.inside@home.nl