zugo Simple UPX Cryptor Uncrypt

Zugo

Program Url: indir Program Tipi: Uncrpyt

Araçlar: OllyDbg

Basit (x )  Orta ( )  Zor ( )  Pro ()

Başlangıç

Simple UPX Crypt ile crypt edilmiş bir dosyayı ele alacagız.

Yazı

İlk önce programı peid ile analiz edelim.Analiz ettigimizde Simple UPX Cryptor v30.4.2005 [Single Layer] -> MANtiCORE yazıyor.Dosyayı olly ile açıyoruz önüzüze gelen pencere söle olacak.

00416E20 >  60              PUSHAD > Entrypoint
00416E21    B8 8F6C4100     MOV EAX,00416C8F
00416E26    B9 8F010000     MOV ECX,18F
00416E2B    803408 55       XOR BYTE PTR DS:[EAX+ECX],55
00416E2F  ^ E2 FA           LOOPD SHORT 00416E2B
00416E31    61              POPAD
00416E32    68 906C4100     PUSH 00416C90
00416E37    C3              RET > Buraya F2 ile bp koyalım
00416E38    0000            ADD BYTE PTR DS:[EAX],AL
00416E3A    0000            ADD BYTE PTR DS:[EAX],AL
00416E3C    0000            ADD BYTE PTR DS:[EAX],AL
00416E3E    0000            ADD BYTE PTR DS:[EAX],AL

Bp koyduktan sonra F9 basalım bp koydugumuz yere gelecektir.
Sonra F7 basalım gelen pencere söle olacak.

00416C90    60              PUSHAD > Crpyt etmeden önceki entrypoint
00416C91    BE 00104100     MOV ESI,00411000
00416C96    8DBE 0000FFFF   LEA EDI,DWORD PTR DS:[ESI+FFFF0000]
00416C9C    57              PUSH EDI
00416C9D    83CD FF         OR EBP,FFFFFFFF
00416CA0    EB 10           JMP SHORT 00416CB2
00416CA2    90              NOP

Söle olacakır.Bu durumda Dump Debugged Process diyerek dump edelim.
Dosyayı sonra analiz ettigimizde upx ile packetlendigini göreceksiniz.Toplam işlemimiz 10 sn sürüyor :)

Son Notlar

ulaşmak ya da bir seyler sormak istiyenler yada hatalarım için e-mail atması yeter.

E-Mail:
zugo_re@cracker.tr