Don Reverso
Green Team
- ЯП: C
- Тип: Native / x86
- Защита: UPX[Latest]
- Сложность: 4/10 (субъективно)
- Задача: Распаковка + Написание Кейгена
- Автор: @VX_RET
- Хотите сами решить - во вложениях лежит zip. Пароль: rev_time
Примечание автора:
Штош, раз автор говорит, значитъ, будем делать.
По традиции, сначала попытаем удачу:
А теперь немного теории:
Упаковщик UPX работает следующим образом: в исполняемом файле создаются три секции: UPX0, UPX1 и UPX2. Первая, обычно, заполняется нулями - туда пакер будет распаковывать исходный код программы. Entrypoint указывает на UPX1, ибо там находится код, занимающийся распаковкой.
Поэтому наша задача состоит в том, чтобы отыскать OEP (Original Entry Point - энтрипоинт в распакованный код), и сдампить это дело в отдельный бинарь. Для этого воспользуемся x96dbg (дебаггер) и модулем Scylla (для дампа)
Обычно UPX оставляет где-то в коде инструкцию popad, а затем после неё идёт прыжок в секцию UPX0 - этот адрес прыжка и будет нашим OEP. Для того, чтобы отыскать этот адрес, x96dbg любезно автоматически ставит брейкпоинты на pushad - можно посмотреть, после какого из таких брейкпоинтов в UPX0 вместо нулей объявляется код, и перед этим брейкпоинтом поискать popad. В x96dbg есть удобная функция поиска с текущего места - этим мы и воспользуемся (поиск выполнялся после первого автоматического брейкпоинта).
А поиск выдаёт один-единственный вариант:
И если мы перейдём по этому адресу, то и наткнёмся на следующий после popad jmp с искомым OEP:
После же, когда мы выполним jmp по этому адресу и окажемся уже в исходной программе, нам необходимо её сдампить с помощью модуля Scylla.
Удостоверьтесь, что OEP в одноимённом поле такой же, как у jmp. Если всё правильно, то нам нужно найти таблицу импортов и сами импорты - это кнопки IAT Autosearch и Get Imports соответственно.
После того, как всё найдено - можно делать дамп. Но при этом получившийся бинарь у вас так просто запустить не получится - нужно будет пофиксить оффсеты в получившейся таблице импортов. Но для этого есть кнопка "Fix Dump".
И теперь, после всех этих манипуляций на выходе мы имеем исходный бинарь, который можно ковырять, как вам угодно. А нам угодно открыть его в IDA для статического анализа (переменные я переименовал для наглядности):
Здесь же до банального просто - ввод логина, серийника, и последний сравнивается с каким-то, который мелькает в strange_func. Возможно, раз в неё передаётся логин, то он там и генерируется? Заглянем внутрь!
А внутри нас ждёт тривиальная функция генерации серийника: каждый символ логина ксорится с 0x42. Для этого можно написать кейген за 3 минуты! Единственное - нам бы ограничиться в логине символами [a-zA-z0-9] для того, чтобы в получившемся серийнике не было стрёмных ASCII-символов.
Python:
login = list(input("pick any login u like [a-zA-Z0-9]: >> "))
print("Serial: >> ", end="")
for i in login:
print(chr(ord(i) ^ 0x42), end="")
print()Пробуем:
Получилось! Наша задача - распаковка + кейген - выполнена! Надеюсь, этот небольшой райтап помог вам в нашей нелёгкой стезе.
Удачного ревёрса!
made 4 @rev_with_da_boys
