# Глава 45 В этой главе мы рассмотрим распакуй-меня, сделанном с помощью упаковщика, который сложно победить в OllyDbg, так как в нём есть одна часть, которая не работает в Олли и выдаёт ошибку. Но мы всё равно будем использовать OllyDbg, несмотря ни на что. Мы могли бы использовать другой отладчик, но ведь это же "Введение в крэкинг с нуля, используя OllyDbg", хе-хе. Так что даже с распухшими головами мы будем использовать OllyDbg вопреки всему. Распакуй-меня [\[ссылка\]](https://github.com/yutewiyof/intro-cracking-with-ollydbg/blob/master/.gitbook/assets/files/45/UnPackMe_ReCrypt0.80.7z) идёт вместе со статьёй, и он кажется реально противоОллиным. Запустим его без отладчика. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-7b8987fb1179b433c37c81e568f7d09b03162ecf%2F1.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-7b2214285c1d89fd7086011443e6ee5d43b1d8ad%2F2.png?alt=media) Вот в чём дело, когда он запущен, то пожирает 99% ресурсов моей машины. Давайте узнаем, делает ли он это для защиты или ещё почему. Если хотим приаттачиться к нему, то нужно пойти в FILE-ATTACH и поискать процесс. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-f1dfa30af37b72a7c564f8d46df164c6dd21653f%2F3.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-1398e2864c70d82f9dd5776eeaae7542f3285a58%2F4.png?alt=media) И не забудьте приаттачиться. Если откроем в Ollydbg, пропатченной для поиска OEP, которую использовали в прошлых главах: ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-84084d1b8c0b40a9e1823948f7fea5f9f8e9cc2b%2F5.png?alt=media) Если нажмём кнопку подтверждения: ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-564fe7538d3a98237c4c57ca89afd7afb60ea40b%2F6.png?alt=media) И если сделаем RUN: ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-c78d60c95ea48d23950a1ece6c7f9e19603e56b3%2F7.png?alt=media) Перезапускаем и снова идём к SYSTEM STARTUP BREAKPOINT, а когда останавливаемся, то идём в окно "M". ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-b3e863df132442af4ccbe8348001dabbcf87dbf1%2F8.png?alt=media) Видим, что тут есть одна секция, которая является результатом известной ошибки, когда меняется RVA и размеры в заголовке файла. Пока что установим BPM ON ACCESS на указанной секции. Помним, что эта OllyDbg – особенная, и останавливаемся только на выполнении кода, но не тогда, когда он читается или записывается. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-99db0405239f7ba688045248d2747932d15f7de2%2F9.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-e61a43d4361c5cffec7cd8043b71f45bacaafc5c%2F10.png?alt=media) Теперь снимаем BPM и делаем RUN. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-d10cb48837018a29a6ce98afd012d61820591036%2F11.png?alt=media) Ок, смотрим в заголовке значения RVA и размеров. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-74c012aaabe95dcc445748bd4e0a49f561d073d7%2F12.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-456ab1ddfeefa8da50a04c1568cada705f765a2d%2F13.png?alt=media) Теперь идём вниз, пока не найдём значение. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-403a494c415adc5025dcdc15f93604d94035ce18%2F14.png?alt=media) Вот это значение, которое должно быть равно 10 в шестнадцатеричной системе. Посмотрим, что будет, если мы его изменим. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-14c06bd2e6a19851fba33baebda9291af3b06f7d%2F15.png?alt=media) Пытаемся сохранить изменения. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-834a7767fc28e8c545921b89ef639a4b0fb8f591%2F16.png?alt=media) Грр… Попробуем изменить в шестнадцатеричном редакторе. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-9667e85ef37cd01a0658254fa803deeb98f58689%2F17.png?alt=media) Меняем на 10. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-9bf0fd018a8236e29834444ed342637294a2131b%2F18.png?alt=media) Теперь сохраняем изменения. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-f31027fca1f4659cdeeb6b97d20d8131c2b9daae%2F19.png?alt=media) Сохраняем под другим именем. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-400f1861d20c1f3707f2eb7b1d42488bde72b836%2F20.png?alt=media) Видим, что при открытии в Ollydbg происходит остановка на точке входа (как и должно быть). Починка файла с помощью данного приёма была правильной. Теперь делаем RUN. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-4bc602acaaea59632f06d7eaf0a695ae4b481c28%2F21.png?alt=media) ГРРРР… Снова ошибка. Теперь, когда находимся на точке входа, изменим в памяти значения RVA и размеров на те, что были сначала. Это необходимо для правильной распаковки. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-b99a7131770ffe9828762b8139b6669d9aa77407%2F22.png?alt=media) Так как мы уже находимся где нужно, установим нужное значение и проверим, сработает ли это. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-3f9ed76119bed541d86ddc2c1aa92673d59a5eb1%2F23.png?alt=media) Значение установили, теперь делаем RUN. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-9629e4c67ab508b029ad7d8c4146795b775e049d%2F24.png?alt=media) Очевидно, что какая-то часть кода не пролезает через OllyDbg, пробуем оттрассировать, но не встречаем ничего странного, доходим до точки, где совершается переход на несуществующую секцию и до свидания. В OllyDbg не выполняется. Мы хотим во что бы то ни стало показать методы, которые обычно используются в таких случаях. Здесь нам понадобится что необычное, для этого требуется вдохновение. Отойдём ненадолго, подумаем, что можно придумать такого неожиданного. ДУМАЕМ ДУМАЕМ ДУМАЕМ хе-хе ДУМАЕМ ЕЩЁ Хорошо, я покажу все возможности. Следующий способ мне не помог (но вам нужно быть знакомыми с этими методами, так как часто они работают). ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-1df78dd5da2223863c5107f1d4a5a2dccc7effc2%2F25.png?alt=media) Открываем [PARCHEADO 5](https://github.com/yutewiyof/intro-cracking-with-ollydbg/blob/master/.gitbook/assets/files/26/olly_parcheado_para_vb.7z) и устанавливаем его как JUST IN TIME DEBUGGER, то есть когда программа вызывает ошибку, отладчик автоматом подсоединяется к ней. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-9ee3db911517999d1fe46e56af7da9d6c694c3cb%2F26.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-a470102d473447ea064db704e701eb4c734f56ce%2F27.png?alt=media) Нажимаем эту кнопку, чтобы перевести OllyDbg в режим JIT. Когда закончим работать с OllyDbg, следует восстановить старый JIT-отладчик с помощью кнопки "RESTORE OLD JUST IN TIME DEBUGGER", иначе OllyDbg будет запускаться при каждой программной ошибке, а это весьма утомительно. Теперь закрываем PARCHEADO 5 и делаем щелчок правой кнопки на исходном файле распакуй-меня. Тот, где мы изменили RVA и другие размеры можно стереть, так как он нам не помог. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-b6e148e1684b5695429fb4a1249ec92dea77faa6%2F28.png?alt=media) У тех из нас, кто иногда использует LORD PE DELUXE [\[ссылка\]](https://github.com/yutewiyof/intro-cracking-with-ollydbg/blob/master/.gitbook/assets/files/33/LordPE-DLX%201.4actualizado.7z) в системном меню правой кнопки мыши есть опция "BREAK AND ENTER", которая устанавливает INT3 на точку входа программы, что приводит к ошибке и запуска JIT-отладчика, которая присоединяется к вызвавшему ошибку процессу. Пробуем. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-e6d42847d64a803daa48ea65585affa7fe158fc7%2F29.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-2c8027bee6851d31d9c7e8022f0576cab539c283%2F30.png?alt=media) Запускается OllyDbg и присоединяется к процессу. Видим INT3, установленный LordPE. Заменяем INT3 на PUSHAD, который должен быть здесь. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-357824ef4ac56fe0dda06be0bfc789fc3c41caec%2F31.png?alt=media) Делаем RUN. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-c6bd0e77f8e7789278ea0811bd6169f378046b45%2F32.png?alt=media) ГРРРРР, так как немного выполняется в OllyDbg, мы должны провести трассировку построчно и выяснить, что происходит, но по-правде, у меня нет никакого желания это делать, поэтому лучше ПОДУМАТЬ, ПОДУМАТЬ, ПОДУМАТЬ, хе-хе. Всегда будем использовать исходный файл. Откроем его в PeEditor’е [\[ссылка\]](https://github.com/yutewiyof/intro-cracking-with-ollydbg/blob/master/.gitbook/assets/files/45/PEditor1.7.7z). ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-a2395f6f8ff75d6a5e9cd311c656698ab1ad7827%2F33.png?alt=media) Теперь смотрим секции. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-1a45ba5bede89c27f6f3e448bdc5a4d60bd456ca%2F34.png?alt=media) С помощью PeEditor’а можно прекрасно посмотреть все секции. Мы ничего не знаем о программе, но очень возможно, что в ней есть функциональность большинства других упаковщиков, которые распаковываются в секцию, начинающуюся с 401000, то есть ту, которая у нас здесь идёт первой, так как здесь не показывается заголовок. Что произойдёт, если изменим параметры доступа к какой-нибудь секции, убрав право на запись, и произойдёт попытка записи сюда? Произойдёт ошибка и откроется PARCHEADO 5, который установлен как JIT-отладчик, хе-хе, так ли это? Можем попробовать это на первой секции, но думаю, что после распаковки программа сохранить API-функции из IAT, и это может быть в следующей секции, поэтому попробуем сначала с ней, а потом, если ничего не выйдет, можем попробывать с первой. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-6f50b34bf54d9bbd4c2a78b009ce72d803e803b8%2F35.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-ab0056c1f658e410775523efcd49793f1e330d61%2F36.png?alt=media) Открываем WIZARD, чтобы изменить параметры доступа к секции. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-a5f4657d16055acae1402e7d5e7bc2e8e21ce91e%2F37.png?alt=media) Снимаем галочку с "writeable". ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-ee062c6606c1872031f75ec3a47a27c143f20f52%2F38.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-2f1a25da02965f2ee3401ea7c1df217a3b811f3b%2F39.png?alt=media) Здесь показаны изменённые параметры секции. Отметим, что автор может оказаться куда умнее меня и несмотря на начальное состояние секции менять права доступа к ней на желаемые во время выполнения с помощью API-функции VirtualProtect, но ладно, смотрим. Запускается этот распакуй-меня, у которого мы изменили права доступа, после чего появляется пропатченный OllyDbg, установленный как JIT-отладчик. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-94917caa2d713f0e51b0cf3249fc1b9f53271465%2F40.png?alt=media) Видим, что программа остановилась, когда попыталась сохранить значение одной из API-функции в вышеуказанной секции (хе-хе, моё предположение было правильным), что привело к ошибке, открывшей OllyDbg, который автоматически подсоединился к программе. Теперь ,чтобы можно было продолжить выполнение, нужно вручную изменить права доступа к этой секции, чтобы в неё можно было писать. Нажимаем "M". ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-2794f0a8093591a21009413677a5b8a27f17c88e%2F41.png?alt=media) Неважно, что OllyDbg показывает нам только одну секцию. Делаем следующее: жмём на правую кнопку мыши и устанавливаем полный доступ, то есть "Full access". ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-26fd2b8f54e472f73c8426018d873e0dcecb038a%2F42.png?alt=media) Теперь пробуем выполнить инструкцию с помощью F7, посмотрим, нормально ли сохранится или снова выдаст ошибку. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-bb04d468495589df6cc05cf465d9f03552d7aaac%2F43.png?alt=media) Видим, что сохранилось без каких-либо проблем, теперь запомним как располагаются секции в PeEditor'е, так как OllyDbg нам показывает эту информацию не очень хорошо. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-2f1a25da02965f2ee3401ea7c1df217a3b811f3b%2F44.png?alt=media) Видим, что первая секция занимает в памяти 1000 байт, так как VIRTUAL SIZE равен 1000, то есть располагается по адресам от 401000 до 402000. Следующая секция, права доступа к которой мы меняли, располагается с 402000 до 403000, хе-хе. Если посмотрим, что находится в 401000, то увидим, что это распакованная программа. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-23ad704ff83a1c868892f0cebc77124ded362796%2F45.png?alt=media) Так что, хотя не можем установить BPM на всю секцию с помощью карты памяти, так как OllyDbg показывает нам её неправильно, можем отметить в дампе байты с 401000 до 402000, то есть всю секцию, и установить на них BPM ON ACCESS, что по сути будет то же самое. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-c9009d243ff8a940bea5b865090a65f9de4e88c4%2F46.png?alt=media) Затушёвываем всё с 401000 до 402000 и устанавливаем туда BPM ON ACCESS. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-bc0209be075709aa6df2719d43088bfcbc8774bb%2F47.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-074d94667f5113aeb24e8a09b3299047d4122c4e%2F48.png?alt=media) Теперь делаем RUN. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-bc9786b40e789db1f0d00145383330f0a9118312%2F49.png?alt=media) Теперь останавливаемся на OEP, который располагается точно в 401000. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-b12f670dce809fa05a0025965b50a9102603277c%2F50.png?alt=media) Ок, мы сделали самое сложное, теперь нужно сдампить программу. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-d5ead0e6b448a5b97e2fb019095b8804923193b0%2F51.png?alt=media) И сохраняем дам, теперь ищем IAT и данные для IMP REC'а. Под OEP есть вызов одной API-функции. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-9121e0853a83830d927148e257ceef11e3d4d15e%2F52.png?alt=media) И если сделаем FOLLOW, то это приведёт нас к переходам на API-функции. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-c1fa85f707655f2e1344d5a90fc6ffcc4f33ffb1%2F53.png?alt=media) Так что найти IAT очень просто, посмотрев какой-нибудь из этих переходов, например тот, который ведёт на GetModuleHandleA содержит значение из области 402000, так что оно относится к IAT. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-30a0fb54827e42e24a9106c02de6435039072020%2F54.png?alt=media) Эта IAT очень маленькая, так что начинается она в 402000, а заканчивается в 40201C, поэтому размер равен 1C. Открываем IMP REC [\[ссылка\]](https://github.com/yutewiyof/intro-cracking-with-ollydbg/blob/master/.gitbook/assets/files/34/ImportReconstructor16f.7z) и отнимаем от найденных адресов начала и конца базу образа, то есть 400000. RVA или НАЧАЛО: 2000 SIZE: 1C OEP: 1000 ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-e2a429a976e259728c46ffad7390617a0ae44edd%2F55.png?alt=media) Заполняем поля для OEP, RVA и SIZE, а затем нажимаем GET IMPORTS. Оно говорит нам, что всё "YES", хе-хе. Пропускаем дамп через "FIX DUMP", и при запуске нам выдаётся ошибка. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-5acb323c23b200b489219cdf99ec74a404c1c354%2F56.png?alt=media) Нам потребуется обработать его в LordPE c помощью "Rebuild PE". ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-5095af5e7cc47c2bade98d4f76ea6874e9ecb924%2F57.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-24a8e1c5dae0533030dd42f54ebb840e92a606d5%2F58.png?alt=media) Запускаем, и прощай, упаковщик! ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-fb1687149e5f9146687fd77c5b455a32a2441053%2F59.png?alt=media) Наши усилия по применению необычных методов дали свои плоды. Некоторые вещи упаковщики делают одинаково, однако они также защищают себя против обычных методов. \[C] Рикардо Нарваха, пер. Aquila ## Дополнение к Главе *От переводчика: приложении к 45-ой главе находился PDF на испанском языке, и эта статья является его переводом на русский язык.* В этой статье показан другой способ противостоять упаковщику из вышеуказанной главы единственно с помощью щелчков по кнопкам мыши без необходимости делать что-то ещё. Замечание: используемый Ollydbg - это обычная версия, единственные модификации - это Ollyghost [\[ссылка\]](https://github.com/yutewiyof/intro-cracking-with-ollydbg/blob/master/.gitbook/assets/files/45/+/OllyGHOST++.7z) и плагин OllyDump [\[ссылка\]](https://github.com/yutewiyof/intro-cracking-with-ollydbg/blob/master/.gitbook/assets/files/35/OllyDump%20v3.00.110.7z) для дампа процесса. Также используется PE Editor, LordPE и две утилиты из списка - Estricnina [\[ссылка\]](https://github.com/yutewiyof/intro-cracking-with-ollydbg/blob/master/.gitbook/assets/files/45/+/Estricnina%20v0.12.7z) и Pokemon Anti\_Attach [\[ссылка\]](https://github.com/yutewiyof/intro-cracking-with-ollydbg/blob/master/.gitbook/assets/files/45/+/POKEMON%20AntiAttach.7z). ### Сводная информация Первым делом до того, как атаковать программу в памяти, посмотрим на данные файла, для чего откроем программу в LordPE. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-d526a7cb349bfc945a583636dd2a1211dbe806cf%2F1.jpg?alt=media) Эти данные нам понадобятся, так как упаковщик может изменить их во время распаковки, и мы ничего не сможет сделать. Как видим, данные NumberOfRvaAndsizes были изменены, так как знаем, что это поле содержало 10 в шестнадцатеричной системе. Изменим его, для чего необходимо его смещение, так что открывает редактор PE. Видим, что смещение равно B4. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-67320ac798ed5ef72a314f97ba11a64cc782624e%2F2.jpg?alt=media) Следующее, что нам необходимо знать - это OEP, и с этим нам поможет плагин PEID. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-20f932ac4fa484719a112b27960129142f47bbdf%2F3.jpg?alt=media) Ок, теперь у нас есть все сведения, которые нам нужны, чтобы начать... Стало быть, идём в атаку. Полученые данные: 1. OEP 00401000 2. SizeOfImagen 00006000 3. NumberOfRvaAndSizes Находится по смещению b4 и было изменено на 10 ### Атака Запускаем упаковщик вне OllyDbg, и он работает. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-a63433f1ca63afeaefc020d2cc713c0d97b20f3b%2F4.jpg?alt=media) Чтобы работать с большим удовольствием, будем использовать утилиту Marciano, которая называется Estricnina, с помощью которой остановим третью нить, которая содержит упаковщик (этот шаг не является необходимым, но делает работу более удобной). ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-9e0f4149cc383c2a6276250363742a308c23ec19%2F5.jpg?alt=media) Если мы делаем это, то загрузка процессора нитью падает с 99 процентов до нуля. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-930e78884d250086dee79e4b0ab5c211d093f1f9%2F6.jpg?alt=media) Теперь мы можем спокойно использовать нашу машину. ### Атака в памяти, чтобы нас не обнаружили После использования Pokemon'а, чтобы избежать возможных противоприсоединительных и тому подобных приёмов, восстанавливаем значение NumberOfRvaSizes, которое, как мы помним, находится по смещению B4. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-2f1913f19302a4d56c39ab5403e391c622087ccf%2F7.jpg?alt=media) Хорошо, если была защита против присоединения, то она исчезла. Продолжаем атаковать упаковщик в памяти. Открываем LordPE, и ищем упаковщик в списке процессов. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-36c26a501e3fb1a891dd66e53789c42047b993a8%2F8.jpg?alt=media) Как видим, у него размер образа равен 0001000, и мы знаем, что он должен быть равен 0006000, и это запутывает OllyDbg и любой дампер, поэтому у нас на выходе и не получается хорошего исполняемого файла, кроме того это мешает использовать программу Import для восстановления таблицы импорта. Вывод: нужно починить его, это понятно. Кликаем по нёму в LordPE правой кнопкой мыши и исправляем ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-ffba8ca201a07dcb6130fc054b2761b9c58bd608%2F9.jpg?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-55bce8d7925bf04ec23e4b0b83f05d0b524374b1%2F10.jpg?alt=media) И как видим на скриншоте справа, размер стал 0006000, каким он и должен быть. Уже починили часть программы в памяти, теперь подсоединяемся с помощью OllyDbg и видим, что она сообщает нам о том, что заголовок неверен. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-c4497040e6a4d2aebc737e5b9b55f9bb9ce951e9%2F11.jpg?alt=media) Жмём на "Oк" и программа аттакуется, останавливается на API-функции. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-105e870a0a2dd42f13af8c343e31a1053322b077%2F12.jpg?alt=media) Теперь, так как знаем его OEP, идём в окне кода в 00401000 и оказываемся на OEP программы. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-ee12cc359d528bd4ab21b0b120db71ee44eb1150%2F13.jpg?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-ef3411235100f35c1b68948cfd63bdb6561225f6%2F14.jpg?alt=media) И видим, что с ней всё в порядке... Нажимаем правую кнопку мышью. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-47022fba83effefd5d53ae67330e023c30099828%2F15.jpg?alt=media) И видим в регистре EIP, что остановились на OEP, так что теперь переходим к сдампливанию с помощью плагина. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-75db7dc6805331a02b089b249a28553d3ca81fec%2F16.jpg?alt=media) Осталось только добавить таблицу, которую подготавливаем с помощью Import. Вводим OEP и нажимаем три кнопки по порядку, выбираем сдампленный ранее файл и не выходим из окна, в котором заголовок находится в плохом состоянии. Об этом нам ещё ранее сказал OllyDbg. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-d4a628f47369fdb25af2041cc66d2e3764af3e82%2F17.jpg?alt=media) Реконструируем заголовок с помощью какой-нибудь программы, у которой есть такая функция, в данном случае это LordPE, и программа становится нормальной. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-b8358ff28cfbcc1446b9e33deac8825eb4b3cf50%2F18.jpg?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-250b2873847cf97ce9ebe84911270cd1faf75c4f%2F19.jpg?alt=media) И если посмотрим в администраторе задач Windows, увидим, что программа больше не пожирает ресурсов - упаковщик исчез. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-a2702ab980e7fe3c3d199a95578748dfa5b2c645%2F20.jpg?alt=media) Ок, достаточно на сегодня. \[C] Lisa и Alquimista, пер. Aquila