ACProtect 2.0 Unpackme

Zugo

Program Url:İndir
Program Tipi: Unpack

     Araçlar:

Ollydbg,ImportRec

Basit (x )  Orta ( )  Zor ( )  Pro ()

Başlangıç

Merhaba arkadaşlar bazı arkdaşların istegine acprotect 2.0 unpackleme konusunu ele aldım.

Yazı 

 

Bunun üzerine bir acprotect 2.0 unpackme yarattım.Şimdi bunu manuel bir şekilde unpack edelim arkadaşlar.Hadi başlıyalım.



Dosyamızı peid ile analiz edelim ACProtect v2.0 ile korunmuş.Dosyamızı olly ile açalım.

Olly ile açtıgımızda bunları görecegiz.Şimdi F8 basarak PUSH 0040100B diyerek bulundugumuz konumun hemen bir altına geçelim
Push 0040100b konumuna dword degerine bp koyacagız.Bunu koymak için Registers ekranındaki ESP ye sag tıklayıp dump deyelim.



Follow in Dump u tıkladıktan sonra Hex Dump penceresine dump dedigimiz yere resimdeki gibi bp koyalım.

Bp koyduktan sonra F9 basalım Aşagıdaki yere gelinceye kadar F9 basın.

Burada duralım arkadaşlar.JMP SHORT 0042C289 olan bakalım.Comment penceresinde EntryPoint zıplıyor yazıyor.Ben anlamanız için uzun yoldan oep e gidelim diyorum :)
Bu yerde dosyamızı dump edelim.Ve dosyamızı peid ile inceleyelim.
Hımmmm neler yazıyoo

Dosyamıza tıkladıgımızda açılıyor ve resource da açılmış ama gerçek entrypoint de degiliz arkadaşlar.Çünkü EP Section bakalım.Halen .perplex sectionu kullanıyor.
Dosyamızı olly ile açalım.

Karşımıza söyle bir yer çıkacaktır Address yerinde 0042C289 yerine bp koyalım.0042C289 un Commet bölümüne bakalım 00401000
adresine zıplıyacagını yazıyor.Şimdi F9 basalım bp koydugumuz yere gelince duracaktır.F7 basalım

 

00401000 adresine gidiyoruz.Şimdi sag tıklayıp dosyayı dump edelim.Dump ederken Rebuild Import şecenegini kapatın.
Dump ettikten sonra dosyamızın Import degerlerini ImportRec ile düzeltelim :)
ImportREC i açalım ilk dosyamıza tıklıyalım.IAT AutoSearch tıklıyalım.Tıkladıktan sonra Get Imports tıklıyalım.Import degerlerini bulduktan sonra Fix Dump tıklıyalım.unpack ettigimiz dosyamıza tıklıyalım.IAT isterseniz zip’in içinde.
Dosyamızı peid ile anliz edelim.

Şimdide dosyamıza tıklıyalım baam çalışıy mi?

Evet arkadaşlar bir tutorialin sonuna gelmiş oluyoruz.Bu sözü deyince aklıma Reha Muhtar geliyor:)
Sağlıcakla kalın.

 Son Notlar 

 
Thanks:






Desperate,BSCA,SCT,Mr.Stop,Lazali,kresuz,odin ve mdk forumundaki arkadaşlara :) 

E-Mail:

zugo_re@cracker.tr