Blog. Just Blog

Быстрый поиск

Введите фрагмент названия статьи для поиска

Программы для восстановления импорта PE-файлов

27.05.2011 | Категория: Темная сторона Силы | Автор: ManHunter
Сперва немного теории. Импортируемая функция - это API-функция, которая не находится в исполняемом модуле, но вызывается им. Такие функции физически находятся в одной или более внешних DLL, а в вызывающем исполняемом модуле находится только информация о них. Эта информация оформлена в виде таблицы, включающей сами имена вызываемых функций и названия DLL, в которых они находятся. Более подробную информацию можете поискать в интернете, здесь я останавливаться не буду. Упаковщики и протекторы обрабатывают таблицу импорта и очень часто вносят в нее изменения, направленные на затруднение их снятия. Поэтому восстановление таблицы импорта исполняемых файлов - обязательный процесс при ручной и автоматизированной распаковке. Для восстановления таблицы импорта созданы специальные программы, некоторые из которых есть в свободном доступе.


Скриншот программы ImpRec

Самая известная программа для восстановления импорта - ImpRec от MackT. ImpRec позволяет выполнять автоматический поиск таблицы импорта, трассировать несколькими способами нераспознанные функции, а также сохранять таблицу импорта в текстовый файл для последующего анализа и в дальнейшем использовать ее для работы. Поддерживаются плагины определения функций импорта для разных протекторов, в архиве есть примеры с исходными текстами. Также ImpRec распространяется в виде отдельного DLL-файла, который используется во многих проектах (например, ArmaGeddon). Последняя официальная версия ImpRec 1.6 Final, но так как автор открыл исходные тексты, последователями были созданы несколько версий линейки 1.7. Несмотря на все полезные нововведения, я уже несколько раз сталкивался с тем, что версии 1.7 не могут правильно восстановить таблицу импорта, поэтому продолжаю пользоваться классической версией 1.6

Читать статью целиком »
Просмотров: 18477 | Комментариев: 15

Автоматические распаковщики инсталляторов

11.02.2011 | Категория: Темная сторона Силы | Автор: ManHunter
Назначение программ для распаковки инсталляторов понятно. В настоящее время инсталляторы сами представляют собой достаточно сложные программы, вносящие изменения в систему или реестр, создающие ярлыки, записывающие файлы в различные папки. Но иногда инсталляторы выполняют нежелательные действия, например, пытаются без ведома пользователя установить различные тулбары или рекламные модули, отправляют разработчику информацию о факте установки, не дают выполнить установку без ввода пароля или серийного номера, и прочие гадости. В этом случае нам требуется извлечь из дистрибутива все содержащиеся в нем файлы, не запуская сам инсталлятор. Кроме файлов из некоторых инсталляторов можно извлечь так называемые скрипты установки, в которых прописывается последовательность действий, из них можно узнать какие ключи реестра меняются, какие файлы и куда записываются и т.п. Также извлеченные из инсталляторов скрипты можно в дальнейшем использовать для создания перепакованных вариантов программ, например, уже включающие в себя файлы с отломанной регистрацией. Еще некоторые особо одаренные аффтары проверяют целостность ранее установленной программы и не дают устанавливать обновления на модифицированные инсталляции, в основном такие милые приколы встречаются на играх. Так что умение бороться с инсталляторами всегда пригодится.


Скриншот программы Universal Extractor

Самым мощным и удобным инструментом для автоматической распаковки инсталляторов является программа Universal Extractor. Она представляет собой оболочку для других распаковщиков, всего поддерживается несколько десятков различных форматов, в том числе таких популярных, как распаковка Inno Setup, InstallShield, Wise Installer и других. Поддерживается русский язык, интеграция в контекстное меню Проводника Windows, продвинутые пользователи могут сохранить и посмотреть лог работы внешних модулей распаковки. На момент написания статьи хостинг с дистрибутивами и исходниками Universal Extractor недоступен, поэтому выложу Universal Extractor здесь.

Читать статью целиком »
Просмотров: 126684 | Комментариев: 40

Как снять пароль на изменение документов Microsoft Office

07.12.2010 | Категория: Темная сторона Силы | Автор: ManHunter

Снятие пароля на редактирование документа

Иногда некоторые файлы, созданные в Microsoft Office, защищают от редактирования. Это могут быть какие-нибудь договора, счета и т.п. документы, которые после оформления не должны быть случайно или намеренно изменены. Но, как говорится, если нельзя, но очень нужно, то можно. В домашних условиях можно применить какой-нибудь инструментарий, специально заточенный для подбора или взлома паролей или открыть документ в OpenOffice, который клал с пробором на такие "защиты". А как быть в условиях офиса или на чужом компьютере? Сейчас я расскажу как можно снять пароль на редактирование документа с помощью подручных средств.

Читать статью целиком »
Просмотров: 40812 | Комментариев: 47

Автоматические распаковщики исполняемых файлов

10.06.2010 | Категория: Темная сторона Силы | Автор: ManHunter
Автоматические распаковщики исполняемых файлов предназначены для снятия навесных протекторов и упаковщиков с PE-файлов без применения других инструментов. Безусловно, ручная распаковка - это круто, но когда реверсинг поставлен на поток или не хватает навыков для снятия серьезных протекторов, то автоматические распаковщики будут очень кстати. Наиболее мощные распаковщики находятся в привате, но есть много хороших инструментов и в свободном доступе. Часть из них я выложу здесь с небольшими описаниями.


Скриншот программы Quick Unpack

Начнем с универсальных распаковщиков. Лидер в этой категории - Quick Unpack, уникальный продукт, не имеющий аналогов в мире. Позволяет за несколько секунд снимать более сотни известных пакеров и протекторов, а также новые и неизвестные пакеры. Более подробное описание возможностей есть в прилагаемой документации. Над программой в разное время работали разные люди, сейчас разработку Quick Unpack поддерживает команда tPORt.

Читать статью целиком »
Просмотров: 96524 | Комментариев: 49

Исследование защиты программы eXeScope

01.02.2010 | Категория: Темная сторона Силы | Автор: ManHunter

Скриншот программы eXeScope

eXeScope - одна из моих любимых программ для работы с ресурсами исполняемых файлов. Последняя версия 6.50, давно не обновлялась, но на работоспособность это никак не влияет. eXeScope предоставляет широкий выбор инструментов как для начинающего исследователя, так и для профессиональных реверсеров: вывод информации о заголовке, функциях импорта, просмотр различных ресурсов с возможностью их редактирования, импорта и экспорта. А также eXeScope сам может оказаться неплохим объектом для исследования, потому что программа шароварная с двухнедельным испытательным периодом.

Читать статью целиком »
Просмотров: 8129 | Комментариев: 8

Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2021
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.11 сек. / MySQL: 3 (0.0482 сек.) / Память: 4.75 Mb
Наверх