SF Editor 2002

amois

Program Url: www.strucsoft.com
Program Tipi: Muhendislik

Araçlar:

SoftICE, IceDump, PEditor

Basit (x)  Orta (x)  Zor ( )  Pro ( )
Başlangıç

Uluslararasi projelerde gecerli olan SF254, SF255 formlarinin doldurulmasini saglayan bir program.
Yazı

Crypkey ile korunmus ve 14 gun deneme surumu ile geliyor.
[bpx GetProcAddress] ve [F5]. Artik Softice dayiz.
Yapmamiz gereken, [F10] ile takip yapmak ve daha yukari bir adrese (geriye dogru) sicrama yapilan yeri bulmak. [wc] ile code window u kapatip [F10] a basili tutalim.

 016F:00639664 PUSH 00638E3B                         <-- Buraya indik
016F:00639669 PUSH ESI
016F:0063966A CALL KERNEL32!GetProcAddress
016F:0063966F MOV [00638E37],EAX
016F:00639674 PUSH 00638E50
016F:00639679 PUSH ESI
...
016F:006395F0 CALL KERNEL32!GetProcAddress
016F:006395F5 CMP EAX,00
016F:006395F8 JZ 00639630 
016F:006395FA PUSH DWORD PTR [00638E16]
016F:00639600 PUSH DWORD PTR [00638A72]
016F:00639606 PUSH 00637000
016F:0063960B PUSH DWORD PTR [00638A76]
016F:00639611 CALL EAX
016F:00639613 JMP [00637000]
016F:00405B7C PUSH 00405E8C                         <-- Gercek Entry Point OEP
016F:00405B81 CALL 00405B76

Kolayca gorebileceginiz gibi, 639613 adresinde JMP yaparak geriye dogru bir donus sozkonusu. Yani, Crypkey 14 gunluk deneme suresini kontrol etmis ve problem yok diyerek orjinal programa bayragi 405B7C adresinde teslim etmistir. Eger, deneme suresi dolmus ise, 405B7C ye gelemeyecegiz. Yani dump edilebilecek haline sahip olamayacagiz.
405B7C adresinde iken [\dump 400000 23958A c:\dump.exe] yazinca Crpykey den arinmis dosyaya sahip oluyoruz. (Image Base=400000 ve Image Size=23958A)
PEditor ile dump.exe yi acalim. Entry Point --> 405B7C-400000 = 5B7C.

Sections --> ilk section da dumpfix yapinca isimizin tamamlanmasi gerekiyor. Buraya kadar yaptiklarimizla, programlardan Crykey korumasini kaldirabiliriz. Programi calistirdigimizda bir tane DLL dosyasinin bulunamadigi hatasi ile karsilasiyoruz. (Garip karakterlerle) Demek ki bu program extra korumaya sahip.
Orjinal programi --> Revirgin --> Procedure --> Sfeditor.exe.

Herhangi bir hata vermedi. OEP --> 405B7C --> Fetch IAT. Simdi de IAT Resolver secelim. Revirgin bizden dump edilmis exe yi soracak. Biz de dump.exe yi seciyoruz. Ardindan "Resolve again" secelim. Show unresolved pickleyerek sonucu kontrol edelim. Hersey yolunda gozukuyor.
(IT RVA 23958A ve IT Length 40)
IT Generator pickleyelim ve IT.bin dosyamizi her ihtimale karsi olusturalim. Revirgin v1.11 build 18, otomatik olarak .tsehp section ni olusturuyor ve bizim yerimize IT RVA ve IT Length degerlerini update ediyor.
Programimiz artik Crypkey den arinmis ve zaman siniri olmadan calisiyor.

Son Notlar

Bir programı kullanarak para kazanıyorsanız, programı satın alın.