PC Guard-w32 v4.04D
amois
Program Url: *
Program Tipi: Crypter
     Araçlar:
SoftIce, IceDump v6.0.2.4
Basit (x)  Orta (x)  Zor ( )  Pro ( )

Başlangıç

Executable lar icin Crypter & Packer.
Yazı

 

IntelliCAD tr Beta 1-2-5 (www.adeko.com.tr)

PC-Guard32 v4.03d ile korunmus ve 30 gunluk deneme surumu ile geliyor. PC-Guard32 nin SoftIce ve breakpointlerine asiri derecede gicikligi var anlasilan. BPM, TRACEX vb.. calismiyor ve sistem aninda gocuyor. Ama, her guzelin bir kusuru oldugu gibi, bunun da zayif bir yonu var. Karsimiza menu ciktigi zaman [bpx LoadLibraryA] --> Enter --> [F11]

016F:008BC318 CALL [EBP+00413DA8]
016F:008BC31E TEST EAX,EAX             <-- Buradayiz
016F:008BC320 JZ 008BC33B

Bu noktadan sonra manual olarak trace etmeye kalkmak insani cildirtabilir. Bu nedenle ben tavsiye etmiyorum. Bu noktada sansimizi \tracex ile deneyebiliriz. OEP nin tahminen nerede oldugunu kestirmek zor oldugu icin, bulundugumuz adresten biraz gerisini sinir olarak verecegiz. [\tracex 401000 8B0000]

016F:006B5CE6 PUSH EBP                 <-- OEP
016F:006B5CE7 MOV EBP,ESP

[\pedump 400000 2B5CE6 dump.exe] --> Bye bye PC-Guard32 v4.03d

 

 

PC Guard-w32 v4.04d  (www.sofpro.com)

 

Yukaridaki yontemi uygulamaya calisalim.

 

[bpx LoadLibraryA] --> programi calistirin --> [F11]

0167:0043E8F6 CALL [EBP+004145CC]
0167:0043E8FC TEST EAX,EAX             <-- buradayiz
0167:0043E8FE JZ 0043E919

Bu noktada sansimizi [\tracex 401000 430000] ile deneyecegiz.

0167:00414198 PUSH EBP                 <-- merhaba OEP
0167:00414199 MOV EBP,ESP

OEP de iken --> [\pedump 400000 14198 dump.exe] --> Hata

OEP de iken --> [a eip] --> [jmp eip] --> ProcDump --> Full Dump --> Hata
OEP de iken --> [\dump 400000 4D000 dump.exe] --> PEditor --> dump.exe --> Hata


Procdump veya benzeri programlar da, dump isini beceremediler. PEditor veya benzeri programlar dump.exe mizi acamiyorlar. Fakat orjinal dosya PEditor tarafindan acilabiliyor. Yani problemin kaynagi PE Header.

 

ReVirgin veya Imprec de bize hicbir sekilde yardim edemiyorlar. Daha dogrusu, hicbir islem gerceklestiremiyorlar. Fakat, her kilidin bir anahtari oldugunu unutmamak gerekiyor.

 

[\dump 400000 4D000] ile elde ettigimiz dump.exe nin 400000 ile 401000 arasindaki 1000h lik bolumunu orjinal exe den alacagiz. Bu islemden sonra PEditor un dump.exe yi acabildigini goreceksiniz. OEP ve Section bolumlerini duzelttikten sonra dump.exe miz calisiyor. Fakat menude ve programin calismasinda bozukluklar var. Buyuk ihtimalle bu versiyonda antidumping vb.. korumalar mevcut. Cunku, PC Guard in bir onceki versiyonu ile korunan IntelliCAD programini duzgunce unpack edebilmistik. Bu noktada IceDump in yeni versiyonu 6.0.2.4 ile tanisinca hersey duzeldi.


OEP de iken --> [\pedump 400000 14198 dump.exe] --> bye bye PC-Guard32 v4.04d

 

Kıssadan Hisse --> ALET İŞLER EL ÖVÜNÜR

 
Son Notlar

 Bir programı kullanarak para kazanıyorsanız, programı satın alın.