+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : فك الضغط اليدوي - Unpacking (https://www.at4re.net/f/forum-27.html)
+--- الموضوع : manually unpack upx advanced (/thread-2765.html)
manually unpack upx advanced - rce3033 - 01-07-2021
السلام عليكم...
كما تلاحظون في الصورة العنوان 018836AE يؤدي مباشرة الى OEP
لكن بعد فك الضغط لا يعمل البرنامج ابدا!
![[صورة مرفقة: p_2008fcozv1.png]](https://d.top4top.io/p_2008fcozv1.png)
اغلب البرامج المضغوطه عبر upx تنتهي بقفزة!
اما في هذا البرنامج الامر مختلف ؟
حماية اضافية ربما؟
وكما يبدو فإن العنوان 018836B3 يسبق القفزة المؤدية الى نقطة الدخول الاصلية !
الحماية:
UPX v3.91
البرنامج:
https://www.isunshare.com/rar-password-genius/
RE: manually unpack upx advanced - adhem - 01-07-2021
افتح مع pe explorer و حفظ
open with pe explorer and save it >>> "it's unpacked"
RE: manually unpack upx advanced - rce3033 - 01-07-2021
إقتباس :افتح مع pe explorer و حفظ
open with pe explorer and save it >>> "it's unpacked"
ملاحظة رائعة !
لكن لماذا نجح pe explorer (اعرف انه يحتوي على upx plugin) بينما upx command line و upx easy gui فشلا؟
شكرا على الملاحظة لكن الموضوع يخص الطريقة اليدوية!.
RE: manually unpack upx advanced - rce3033 - 01-07-2021
إقتباس :لكن لماذا نجح pe explorer (اعرف انه يحتوي على upx plugin) بينما upx command line و upx easy gui فشلا؟
إقتباس :PE Explorer R3 now supports for files modified with many UPX scramblers such as Advanced UPX Scrambler, UPoLyX, UPX Lock, and more. Now users can open these obfuscated files with PE Explorer even without knowing that: the files will be unpacked automatically.
المصدر:
http://www.heaventools.com/pr_071006_heaventools.htm
RE: manually unpack upx advanced - rce3033 - 06-07-2021
مالاحظة هو عند فك ضغط الحماية يدوي تبقى اقسام البرنامج مضغوطة، لذالك لا يمكن تعديل البرنامج عبر برامج resource editor مثل resource hacker
السؤل هنا كيف نتخلص من الحماية بشكل كامل (نستعيد الاقسام السابقة للبرنامج)؟
هذا الموضوع مفتوح لمناقشة عن حماية upx بشكل عام!
RE: manually unpack upx advanced - Mythos - 06-07-2021
^^
برامج مثل Resource Hacker أو غيرها لا تستطيع التعرف علي المصادر (Resources) الموجودة في قسمين منفصلين، ولذلك لا يمكن التعديل؛ حيث أن برامج الضغط/الحماية تقوم بنقل المصادر (Resources) التي لا يمكن ضغطها مثل (Icon, Version Information) إلي القسم الذي تضيفه.
يمكنك استخدام برنامج مثل Resource Binder لإصلاح الملف التنفيذي.
RE: manually unpack upx advanced - rce3033 - 07-07-2021
إقتباس :برامج مثل Resource Hacker أو غيرها لا تستطيع التعرف علي المصادر (Resources) الموجودة في قسمين منفصلين، ولذلك لا يمكن التعديل؛ حيث أن برامج الضغط/الحماية تقوم بنقل المصادر (Resources) التي لا يمكن ضغطها مثل (Icon, Version Information) إلي القسم الذي تضيفه.
يمكنك استخدام برنامج مثل Resource Binder لإصلاح الملف التنفيذي.
بحث في الموضوع لكن لم اجد البرنامج او اي شيء مفيد سوى الرابط التالي:
https://reverseengineering.stackexchange.com/questions/27503/how-to-restore-section-headers-in-upx-unpack
هل يمكنك شرح الطريقة اذا امكن ذالك ؟
RE: manually unpack upx advanced - Mythos - 10-07-2021
^^
هذا هو رابط الأداة:
https://www46.zippyshare.com/v/IROf1Sbr/file.html
RE: manually unpack upx advanced - rce3033 - 10-07-2021
إقتباس :هذا هو رابط الأداة:
https://www46.zippyshare.com/v/IROf1Sbr/file.html
كلمة السر:
all-for-rus.narod.ru
اصدار احدث من الاداة:
Resource Binder 4.0
https://www.manhunter.ru/download/29304/Resource.Binder.4.0.0.zip
المصدر:
https://www.manhunter.ru/underground/511_programmi_dlya_redaktirovaniya_resursov_pe_faylov.html