السلام عليكم...
كما تلاحظون في الصورة العنوان 018836AE يؤدي مباشرة الى OEP
لكن بعد فك الضغط لا يعمل البرنامج ابدا!
![[صورة مرفقة: p_2008fcozv1.png]](https://d.top4top.io/p_2008fcozv1.png)
اغلب البرامج المضغوطه عبر upx تنتهي بقفزة!
اما في هذا البرنامج الامر مختلف ؟
حماية اضافية ربما؟
وكما يبدو فإن العنوان 018836B3 يسبق القفزة المؤدية الى نقطة الدخول الاصلية !
الحماية:
UPX v3.91
البرنامج:
https://www.isunshare.com/rar-password-genius/
افتح مع pe explorer و حفظ
open with pe explorer and save it >>> "it's unpacked"
إقتباس :افتح مع pe explorer و حفظ
open with pe explorer and save it >>> "it's unpacked"
ملاحظة رائعة !
لكن لماذا نجح pe explorer (اعرف انه يحتوي على upx plugin) بينما upx command line و upx easy gui فشلا؟
شكرا على الملاحظة لكن الموضوع يخص الطريقة اليدوية!.
إقتباس :لكن لماذا نجح pe explorer (اعرف انه يحتوي على upx plugin) بينما upx command line و upx easy gui فشلا؟
إقتباس :PE Explorer R3 now supports for files modified with many UPX scramblers such as Advanced UPX Scrambler, UPoLyX, UPX Lock, and more. Now users can open these obfuscated files with PE Explorer even without knowing that: the files will be unpacked automatically.
المصدر:
http://www.heaventools.com/pr_071006_heaventools.htm
مالاحظة هو عند فك ضغط الحماية يدوي تبقى اقسام البرنامج مضغوطة، لذالك لا يمكن تعديل البرنامج عبر برامج resource editor مثل resource hacker
السؤل هنا كيف نتخلص من الحماية بشكل كامل (نستعيد الاقسام السابقة للبرنامج)؟
هذا الموضوع مفتوح لمناقشة عن حماية upx بشكل عام!
^^
برامج مثل Resource Hacker أو غيرها لا تستطيع التعرف علي المصادر (Resources) الموجودة في قسمين منفصلين، ولذلك لا يمكن التعديل؛ حيث أن برامج الضغط/الحماية تقوم بنقل المصادر (Resources) التي لا يمكن ضغطها مثل (Icon, Version Information) إلي القسم الذي تضيفه.
يمكنك استخدام برنامج مثل Resource Binder لإصلاح الملف التنفيذي.
إقتباس :برامج مثل Resource Hacker أو غيرها لا تستطيع التعرف علي المصادر (Resources) الموجودة في قسمين منفصلين، ولذلك لا يمكن التعديل؛ حيث أن برامج الضغط/الحماية تقوم بنقل المصادر (Resources) التي لا يمكن ضغطها مثل (Icon, Version Information) إلي القسم الذي تضيفه.
يمكنك استخدام برنامج مثل Resource Binder لإصلاح الملف التنفيذي.
بحث في الموضوع لكن لم اجد البرنامج او اي شيء مفيد سوى الرابط التالي:
https://reverseengineering.stackexchange.com/questions/27503/how-to-restore-section-headers-in-upx-unpack
هل يمكنك شرح الطريقة اذا امكن ذالك ؟
^^
هذا هو رابط الأداة:
https://www46.zippyshare.com/v/IROf1Sbr/file.html
وإن توفر وقت سأقوم بشرح مثال بسيط لطريقة الإصلاح اليدوي.
إقتباس :هذا هو رابط الأداة:
https://www46.zippyshare.com/v/IROf1Sbr/file.html
كلمة السر:
all-for-rus.narod.ru
اصدار احدث من الاداة:
Resource Binder 4.0
https://www.manhunter.ru/download/29304/Resource.Binder.4.0.0.zip
المصدر:
https://www.manhunter.ru/underground/511_programmi_dlya_redaktirovaniya_resursov_pe_faylov.html