BLOG main image
Notice
CATEGORY
분류 전체보기 (137)
궁시렁 (39)
컴쟁이의 연구실 (65)
리버싱 (17)
배워보자 (3)
좋은 곳 (9)
TAGS
Recent Entries
Recent Comments
Recent Trackbacks
seyool님의 언팩미#1 들여다보기.
jz in reverse engineering
MS API 드래프트 제 1버전 공개
낚시광준초리의 Blog 세상(IT-Fo..
[Kernel] KeServiceDescriptorTa..
我好电脑,我是一名的程序设计员..
SSDT에 대한 고찰
::거듭나기::
불필요한 관심
^0^range.Net - 신은 불공평하다..
Calendar
Archive
Link Site
138,103 Visitors up to today!
Today 3 hit, Yesterday 28 hit
daisy rss
^0^range.net
'2009/04'에 해당되는 글 2건
두번째 언팩미(Unpack me) (22) | 2009/04/18
팬텀 탐지하기 | 2009/04/09
두번째 언팩미(Unpack me)
2009/04/18 01:43
[리버싱/언팩미(Unpackme)]
첫번째 언팩미가 꽤 오래되었는데, 이제서야 두번째를 올리네요.
힌트를 드리고 싶은 마음이야 굴뚝같지만,,, 푸시는 분의 재미를 위해서 참아봅니다.
두번째 언팩미의 컨셉은.. '믿는 도끼에 발등찍힌다' 입니다.

자세한 풀이를 첨부하여 주시면(트랙백, 코멘트, 메일) 3번째 언팩미를 만들어서
드리겠습니다 ^^


문제풀이 랭킹:
1. nobody
2. Baboon
3. ollylove

크리에이티브 커먼즈 라이선스
Creative Commons License
Trackback0 : Comment22
Trackback Address :: http://0range.net/trackback/290 관련글 쓰기
BlogIcon vbdream | 2009/04/19 16:14 | PERMALINK | EDIT/DEL | REPLY
흐흐... MSN 에서 언급하신 그것(?)이군요...^^
BlogIcon vbdream | 2009/04/19 16:21 | PERMALINK | EDIT/DEL
일종의 fake 인지는 모르겠지만, debugger를 붙이지 않고 실행만 했는데도 오류 보고가 뜨는군요... 오류가 아닌지 확인 부탁드립니다...^^; (Code: 0xC0000005 / Address: 0x0000000000423688)
BlogIcon seyool | 2009/04/19 22:53 | PERMALINK | EDIT/DEL
64bit를 쓰시는가봐요. 64bit는 제가 테스트를 못해봤어요.
내일 한번 해보겠습니다.
다만,, debugger 없을때 잘 동작한다면 unpackme에는 문제가 없다고 보셔도 됩니다. :-)
BlogIcon vbdream | 2009/04/20 00:03 | PERMALINK | EDIT/DEL
아니요. 위 오류 보고는 XP x86(32-bit) Service Pack 3 환경에서 테스트했을 때 났던 것으로, Address 가 16자리인 것은, 오류 보고에서 나온 값을 그대로 입력한 것이지, 환경이 64비트인 것은 아니고, 32비트에서 테스트한 결과입니다.

그리고 위에서도 언급했듯이 XP 32-bit 환경에서 Debugger 를 붙이지 않고 실행했을 때 오류가 난 것입니다.
nobody | 2009/04/20 11:53 | PERMALINK | EDIT/DEL | REPLY
dumped

_http://www.sendspace.com/file/b69p8p
BlogIcon seyool | 2009/04/20 13:31 | PERMALINK | EDIT/DEL
네.. 가장 먼저 풀어주셨네요. 감사합니다.
괜찮으시다면,, 풀이 과정도 간단하게 남겨주실수 있으신가요
nobody | 2009/04/20 20:49 | PERMALINK | EDIT/DEL | REPLY
1. execute 2. Full dump with LordPE 3. RDG Packer Detector says "Compiled with Visual C++" 4. Search for the EP bytes of Microsoft Visual C++ (1) with msvcrt module (2) without msvcrt module 5. turns out to be without msvcrt module. Start Olly. Tick all anti-debugger checks(yes I'm lazy). Hardware Breakpoint on execution. Break. Dump. 6. Fix imports with ImpRec
BlogIcon seyool | 2009/04/21 09:23 | PERMALINK | EDIT/DEL
감사합니다. :)
미처 생각치 못한 방법으로 풀어주셨네요 ㅎㅎ
3번째 언팩미는 준비중에 있습니다.
nobody | 2009/04/22 19:44 | PERMALINK | EDIT/DEL | REPLY
[quote name='RolfRolles']You keep making them, I'll keep breaking them.[/quote]
-_-... I'm not RolfRolles. RolfRolles is one of the most tallented reversers of all time. I'm nothing compared to him. please edit your post...
BlogIcon seyool | 2009/04/22 21:37 | PERMALINK | EDIT/DEL
아.. 제가 잘 못 해석했네요 ㅎㅎ
다시 수정했습니다 ^^
BlogIcon Baboon | 2009/04/26 01:40 | PERMALINK | EDIT/DEL | REPLY
dumped ;)

http://baboon.rce.free.fr/download/dumped_.zip

Just execute, search a return address in the stack, get the oep, set an HBP, Break, dump with lordpe, fix import with imprec, clean the executable to remove the last section and reduce the size

a little import protection should be great for the next one
BlogIcon seyool | 2009/04/26 11:02 | PERMALINK | EDIT/DEL
Your solution is good.
Thank you for your Import Protection advice.
My 3rd unpackme is now in progress.
ollylove | 2009/04/26 10:48 | PERMALINK | EDIT/DEL | REPLY
서핑중에 들어오게 되었습니다.
좋은글을 읽다가 unpackme가 있길래 2번째 문제를 풀어 보았습니다.
언팩 파일 입니다.
http://www.4shared.com/file/101748759/493c5b14/unpackme2_dump_.html

언팩풀이 과정 입니다.
http://www.4shared.com/file/101753542/2e10c902/unpackme2.html
BlogIcon seyool | 2009/04/26 11:09 | PERMALINK | EDIT/DEL
윗분 덧글 다는 사이에 풀이과정까지 올려주셨군요.
동영상으로 풀이과정을 보여주셔서 감동입니다. ^^;
풀어주셔서 고맙습니다.
파이 | 2009/04/29 21:19 | PERMALINK | EDIT/DEL | REPLY
3번째 unpackme는 언제쯤 완성이 될까요?
BlogIcon seyool | 2009/05/01 15:16 | PERMALINK | EDIT/DEL
아직 확정된 날짜가 없습니다 ㅎㅎ
하지만 틈틈히 시간내서 3번째 언팩미를 준비하고 있어요~
BlogIcon jz | 2009/04/30 13:31 | PERMALINK | EDIT/DEL | REPLY
.idb파일 올리려다가.. 이미 훌륭한 솔루션들이 나와서 접습니다^^;

1탄과 다른점은 aplib모듈, floating ptr 버그, trap flag 트릭정도인가요^^


제너릭한 언팩방법을 회피하기 위해

api redirection등 원본을 뿌숴버리시면 좋을 듯 하네요

아니면 디버거 어태치를 막으셔도 좋을듯.

근데 이거 은근 옵션을 위한 버퍼도 들어가있는 것 같고... 수동으로 만드신게 아니라 패커 프로그램까지 만드시는 중 같은데 맞나요? ㅎㅎ 아님 쓰레기 훼이크 코드인가

ㄳㄳ
BlogIcon seyool | 2009/05/01 15:20 | PERMALINK | EDIT/DEL
넵 정확하게 보셨네요. IAT Rebuild 기능이 추가되었구요.
여러가지 안티디버깅기능이 더 들어갔어요. 패커랑 같이 작업하고
있습니다. 여러가지 조언 감사드려요.
3탄에서 다 구현하기는 힘들것 같고 나름 재미난 컨셉을 가지고
준비하는 중이에요.
그리고,, 크랙미 풀이를 해봤는데 한번 확인 부탁드립니다.
맞게 풀었는것인지 궁금합니다. ^^
nobody | 2009/04/30 19:26 | PERMALINK | EDIT/DEL | REPLY
IAT도 부숴주세요. 그래야 재밌죠. :)
Obfuscate도 시켜주고요. Code Splicing도 해주고 VM까지 만들어주세요. 더 Challenging 할수록 더 즐겁습니다. :)
BlogIcon seyool | 2009/05/01 15:22 | PERMALINK | EDIT/DEL
ㅎㅎ 고급 패킹 기술은 아직 제가 허접해서 구현을 못하고 있어요.
하지만 3탄에서는 다른 패커에서는 찾아볼 수 없는 기능을
구상하고 있어요. 조언 감사드립니다 :-)
관련자료라도 알려주시면 제가 열공해서 다음 언팩미에 적용해
보겠습니다(굽신굽신~)
nobody | 2009/05/02 01:55 | PERMALINK | EDIT/DEL | REPLY
read your e-mail.

Regards, anonymous
BlogIcon seyool | 2009/05/02 22:31 | PERMALINK | EDIT/DEL
대단히 감사합니다 (_._)
Name
Password
Homepage
Secret
팬텀 탐지하기
2009/04/09 22:08
[리버싱]
간단한 방법으로 팬텀플러긴이 사용하는 드라이버를 탐지할 수 있다.

bool CheckPhant0m()
{
	HANDLE hDevice = CreateFileA( "\\\\.\\rdtsc", 
								  GENERIC_READ | GENERIC_WRITE, 
								  FILE_SHARE_READ | FILE_SHARE_WRITE,
								  0,
								  OPEN_EXISTING,
								  0,
								  0 );

	if ( INVALID_HANDLE_VALUE != hDevice )
	{
		CloseHandle( hDevice );
		return true;
	}

	if ( GetLastError() == ERROR_ACCESS_DENIED )
	{
		return true;
	}

	return false;
}
크리에이티브 커먼즈 라이선스
Creative Commons License
Trackback0 : Comment0
Trackback Address :: http://0range.net/trackback/286 관련글 쓰기
Name
Password
Homepage
Secret
prev"" #1 next