• XSS.stack #1 – первый литературный журнал от юзеров форума

SpyEye Unpack script

Отслеживать
greenzy

greenzy

(L3) cache
Пользователь
Регистрация
25.10.2010
Сообщения
208
Реакции
1
Хай! Написал скрипт для OllyDbg для распаковки бинарников. Распаковывает второй слой (тот который после upx).
Порядок работы
1. Снимаем upx
2. Запускаем скрипт
3. А теперь придется поработать немножко руками: после выполнения давим follow in dump регистр eax и сохраняем в файл. В файле будет полно мусора (нулевые байты). Открываем дамп в любом hex editor'е удаляем мусор с начала файла до сигны MZ

Скрипт корректно работает с бинарниками у которых психогаллюциногенная иконка :fuck:
pass 978

отпишитесь: работает или нет?
 

Вложения

  • 1.rar
    352.2 КБ · Просмотры: 346
отпишитесь: работает или нет?
Распаковал, оригинальный файл без upx 313кб.
Понравился приём с бряками на выделение памяти + поиском ret вызова :)
 
В новых версия спая есть трюк сбивающий с толку реверсера. После распаковки первого слоя jmp указывает на "пустоту"
:screenshot: Скриншот|Screenshot
:screenshot: Скриншот|Screenshot

OEP находится почти на самом низу. Надо несколько раз прокрутить листинг вниз, чтобы перейти к точке входа
:screenshot: Скриншот|Screenshot

PS. пока скрипт _абсолютно_ не работает с новыми версиями. Планируется обновление
 
greenzy это не ошибка. Это причина по которой я хотел закрывать форум. Все тащат, никто не делится и не отписывается. Элементарное спасибо ленятся написать.
 
greenzy пишет:
пока скрипт _абсолютно_ не работает с новыми версиями
Ну дык он же ясен пень читает форум, поэтому "_абсолютно_ не работает", тут либо в тихую(интимно) "дыры" надо юзать, либо вечная борьба – ты "анпачишь", а он "пакует" (но в этом случае идет прогресс, как для тебя, так и для него – хотя он один, а на халяву поюзать спая тысячи, вообщем в какой он жопе, врятли позавидуешь.. да еще и в приват соскочил – "к старости и кружки воды некому подать будет")

greenzy пишет:
1154 просмотров, 668 скачиваний (может это ошибка?) - и так мало коментариев
Гы-гы, у тебя хотя бы так.. помню, когда я создавал темы, все вообще куда-то исчезали на 2-3 дня %)))
Начинали посещать мысли, может вообще ну ее нах что-то писать ;)
Но потом смотрел на стату на главной и..
Обычно 80-100 мемберов в день, 4000-6000 "читающих".. 20-40 постов в день (не кисло, да) – это стандарт для DL
Но вот стоит запостить статью, как стата меняется на такую (проверял несколько раз)
50-60 мемберов в день, 7000-12000 "читающих".. 3-12 постов в день
Поначалу пипец каг раздражало, но потом я быстро понял, в чем сила дамаги и начал этим пользоваться в своих корыстных целях %)))

greenzy пишет:
вы хоть плюсаните что ли
Как я успел заметить, тут за то что-то выкладываешь.. мало, кто плюсует, но вот когда сам статьи пишешь(не копипаст), 3-7 плюсов ставят(я лично считаю это правильным)
Хотя можно и на критику нарвацца, меня помню "бобрили" тут по-черному, потом к моему шарму(стилю написания) привыкли..
Те, кто не смог привыкнуть, тупо ушел... ИМХО

Ar3s пишет:
greenzy это не ошибка. Это причина по которой я хотел закрывать форум.
Пиздец, не ожидал такое прочитать
Неужели из-за не поставленных спасибов нужно закрывать форум? А это вообще возможно, даже теоретически?
Что-то я начинаю много недопонимать, но разве Winux это позволит сделать.. что-то сомневаюсь...
После такого, начинаю понимать, что копипаст(зеркало) статей, имеет смыслу быть и на других ресурсах.

P. S.
Я вообще против этих спасибов, хочешь сказать спасибо - плюсуй или пиши автору в личку, нех засорять форум.. 1-2 спасибов в теме более чем достаточно – ИМХО
Кто-нить был на китайских форумах? Видели ужасы?, на 3-7 страницах в постах всего два слова КУЛ и ГУД, нахуй нам такой сральник нужен?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх