 |
| Главная |
| Программы |
| Статьи |
| Разное |
| Форум |
| Контакты |
Учимся распаковке DLL библиотек
[Введение]В данной статье я расскажу основные приемы, используемые для
распаковки DLL библиотек. Несмотря на большое сходство EXE и DLL,
многих начинающих исследователей защит распаковка DLL просто
отпугивает, а многим из них кажется, что это вообще невозможно.
Как ни странно все делается почти также просто, как и распаковка EXE
файлов, правда есть определенные тонкости.
Распаковку DLL библиотек мы рассмотрим на примере плагина GenOEP.dll
из поставки PEiD’а, так как он наверняка найдется у многих.
[Нам понадобятся]
1. Olly Debugger
2. Lord PE
3. ImpREC
4. PEiD
5. Мозги
[Немного исследования]
Откроем наш плагин в Olly. Нам сразу будет предложено использовать
программу loaddll.exe из поставки olly. Чтож, неплохая идея, поэтому
отвечаем "Да". Просмотрев то, что находится начиная с точки
| CODE NOW! |
| 10004880 > $ 807C24 08 01 CMP BYTE PTR SS:[ESP+8],1 10004885 . 0F85 7D010000 JNZ GenOEP.10004A08 1000488B . 60 PUSHAD 1000488C . BE 00400010 MOV ESI,GenOEP.10004000 10004891 . 8DBE 00D0FFFF LEA EDI,DWORD PTR DS:[ESI-3000] 10004897 . 57 PUSH EDI 10004898 . 83CD FF OR EBP,FFFFFFFF 1000489B . EB 0D JMP SHORT GenOEP.100048AA 1000489D 90 NOP 1000489E 90 NOP 1000489F 90 NOP 100048A0 > 8A06 MOV AL,BYTE PTR DS:[ESI] |
входа нетрудно догадаться, что программа запакована UPX’ом, поэтому
ищем следующие команды ниже:
| CODE NOW! |
| POPAD JMP OEP |
как ни странно все стандартно:
| CODE NOW! |
| 100049E3 . 74 22 JE SHORT GenOEP.10004A07 100049E5 . 3C EF CMP AL,0EF 100049E7 . 77 11 JA SHORT GenOEP.100049FA 100049E9 > 01C3 ADD EBX,EAX 100049EB . 8B03 MOV EAX,DWORD PTR DS:[EBX] 100049ED . 86C4 XCHG AH,AL 100049EF . C1C0 10 ROL EAX,10 100049F2 . 86C4 XCHG AH,AL 100049F4 . 01F0 ADD EAX,ESI 100049F6 . 8903 MOV DWORD PTR DS:[EBX],EAX 100049F8 .^EB E2 JMP SHORT GenOEP.100049DC 100049FA > 24 0F AND AL,0F 100049FC . C1E0 10 SHL EAX,10 100049FF . 66:8B07 MOV AX,WORD PTR DS:[EDI] 10004A02 . 83C7 02 ADD EDI,2 10004A05 .^EB E2 JMP SHORT GenOEP.100049E9 10004A07 > 61 POPAD 10004A08 >-E9 4ED1FFFF JMP GenOEP.10001B5B ; прыжок на OEP |
Ставим бряк на 10004A08 адрес, дважды щелкнув по строчке байт и
запускаем DLL. Да, да, именно запускаем, так как она будет
запущена с помощью специальной утилиты Olly, которая как бы эмулирует
вызов этой библиотеки из EXE. Брякнулись? Запускаем Lord PE, выбираем
в списке процессов loaddll.exe и видим в списке ниже гору библиотек.
Найдем среди этого списка нужный нам плагин (genoep.dll), далее
щелкаем правой кнопкой и выбираем пункт "Dump full". Теперь мы
имеем нормальный дамп Dll’ки, правда пока не работоспособный.
[Восстановление импорта]
Надеюсь, что вы еще не закрыли Olly, так как брякнутый на OEP процесс
нам еще понадобится, для получения из него импорта. запускаем ImpREC
и выбираем в списке процессов "loaddll.exe". Теперь посмотрите чуть
правее. Как вы думаете, для чего нужна кнопка "Pick dll"? Как ни странно
именно для выбора DLL. Щелкнем по ней и выберем в полученном списке наш
плагин (скорее всего он будет первым в списке) и щелкнем по кнопке "OK".
Теперь осталось только вбить найденный нами OEP (а это как вы помните
адрес, по которому jmp’ается прога после восстановления регистров (POPAD))
в строку "OEP". Не забудем вычесть из него значение Image Base (для данной
DLL библиотеки оно равно 10000000. Щелкаем по кнопке "IAT AutoSearch".
Далее как обычно - жмем "Get Imports" и получаем список функций.
Они восстановились нормально, так как мы имеем дело не с армой, а с обычным UPX.
Щелкаем по кнопке "Fix Dump", выбираем сдампенную в предыдущем шаге DLL
и получаем полноценный рабочий дамп, который можно проверить запустив
PEiD и найдя этот плагин в списке плагинов.
[Заключение]
Вот мы с Вами и научились распаковывать DLL. Как видите это не намного сложнее
распаковки EXE файлов, но немного поинтереснее. Думаю Вы без труда найдете
практическое применение полученным знаниям. Это поможет локализаторам программ
на русский язык, которые обычно не русифицируют плагины, так как редакторы
ресурсов не могут отобразить запакованные ресурсы программ. Ну и конечно это
пригодится исследователям программных защит, особенно когда защита разнесена
по нескольким DLL, которые еще к тому же упакованы.
| отсутствуют |
| :: Последние обновления :: |
| 04.09.2011 Долгожданный релиз VB Decompiler. Масса улучшений декомпиляции Native Code. Значительно расширенна и обновлена справочная система на русском и английском языках. |
| 20.12.2010 DotFix Software поздравляет наших клиентов и посетителей сайта с наступающим Новым Годом и рождеством! Желаем приятно провести праздники и успехов в новом году! |
| 28.11.2010 Выпущена новая версия защиты DotFix NiceProtect. Основные изменения коснулись обфускатора Delphi программ. Теперь имеется полная поддержка Tab и Page контролов на формах, что обеспечивает максимальную совместимость обфускации с Delphi XE программами. |
| 21.10.2010 Обновлен декомпилятор Visual Basic программ до версии 8.1. Декомпиляция P-Code программ становится все более идеальной, также проделана большая работа по улучшению анализа Native Code и .NET приложений. |
| 16.09.2009 Полностью обновлен движок сайта! Теперь все ссылки имеют читаемый понятный вид, разного рода глюки на страницах убраны. И теперь сайт полноценно работает на второй версии нашего движка. |
Движок сайта: DotFix Engine v0.2 Администрация сайта: |