13 adımda Adventureinlay unpack

maviboynuz

Program Url:3w.gamehouse.com
Program Tipi: süre kısıtlamalı oyunlar

     Araçlar: peid,ollydb,importrec

Basit (x )  Orta ( )  Zor ( )  Pro ()

Başlangıç

Yazı

1. öncelikle paid ile advanture inlay oyunumuza bir bakalım. Görüldüğü gibi oyunun hangi dilde yazıldığı ve hangi programla korunduğu belli değil.

2. oyunumuzu ollydb ile açalım.

 3. 2 defa F7 tuşuna basıp, 4d1005 adresindeki call çağrısına giriyoruz.

4. bu aşamada ctrl+F8 tuşlarına basıyoruz.(animate over). böylece ollydbg programı bizim yerimize trace ediyor. ve try butonunun bulunduğu call çağrısında duracak. 20 saniye kadar sürebilir. evet beklenen ekran geldi. görüldüğü gibi oyunu 3 dakika oynamışım. 57 dakikam kalmış. eğer isme karşılık codu bulabilirseniz bu ekranla bir daha karşılaşmazsınız. neyse biz kökten çözeceğiz işi. bu noktadan sonra biraz mantıklı düşünmemiz gerekiyor. yazılı düşünmeye çalışacağım. biz try now butonuna tıkladığımızda programın korumasından kurtulup oepye gitmesi gerekiyor. çünkü henüz 60 dakikamız dolmadı.

5. 18005f66 nolu satıra F2 ile breakpoint koyup try now butonuna basıyoruz. ekranın kaybolduğunu ama oyunun çalışmadığını göreceksiniz. artık oep ye daha yakınız. F8 ile biraz trace yapıp bakalım.

6. biraz aşağılara ilerledikten sonra jmp near satırını göreceksiniz. - işareti geriye doğru bir sıçramanın olacağını gösteriyor diye tahmin ediyorum. bu jmp diğerlerine benzemiyor. try now butonunun bulunduğu call çağrısının üzerinde yer alan jnz ve je dallanma komutlarını değiştirip program akışını call a uğratmadan geçirseniz bile programın yönü yine de bu jmp den geçiyor. demekki bunda bir iş var

7. bir defa daha F8 tuşuna basalım. bakalım nereye jmplendik. 18006031 den 45a8c9 adresine geldik. evet burası aradığımız yer. emin olmak için buraya breakpoint koyup programı tekrar çalıştırabilirsiniz. yada peid ile sectionlara bakabilirsiniz. oep genelde 1. ve 2. sectionlar arasında bulunur. (45a8c9-40000=5a8c9 yani bizim oep'miz.) v.offset kısmına bakarsanız 1000 ile 7c000 arasında olduğunu görürsünüz.

8. oepyi bulduğumuza göre gerisi kolay. oepnin bulunduğu satırda farenin sağ tuşuna basıp açılan menüden dump debugged procces seçeneğini seçiyoruz.

9. açılan pencerede hiç bir değişiklik yapmadan dump seçeneğiniz seçip dosyamıza isim veriyoruz ve ollydbg dump dosyasını oluşturuyor.

10. ollydbg programı ile işimiz bitti. peid ile yeni dosyamıza bir göz atalım. evet herşey ortada programı korumasından ayırdık. ancak ollydbgnin dump ettiği dosya çalışmayacak. şimdi son aşamada importrec programını kullanarak dump dosyamızı çalışır hale getirelim.

11. ollydbg programını kapatmayın. çünkü importrec programının import tablosunu düzeltebilmesi için programın hafızada bulunması gerekiyor. ollydbg yi kapatırsanız advanture inlay da doğal olarak kapatılmış olacak. attach to an active process şu anda hafızada çalışan programları gösterir. oradan oyunumuzu seçiyoruz.

12. oep kutusuna bizim bulduğumuz oep(5a8c9) yi yazıp iat autosearch ve ardından get imports butonlarına tıklıyoruz. aşağıdaki görüntü get imports butonuna basıldıktan sonraki durumu gösteriyor. görüldüğü gibi importların tamamı sağlam. yes yazısından anladık. no yazsaydı sağ tuşa tıklayıp delete thunk(s) seçeneği ile siliyoruz.

13. evet son aşamaya geldik. fix dump butonuna tıklayıp, ollydbg nin dump ettiği dosyayı seçiyoruz. ve aç diyoruz. importrec programı işlemin başarı ile gerçekleştiğini bize bildiriyor. şimdi üç tane exe dosyamız oldu. 1. orjinal exe, 2. dump edilmiş ama çalışmayan exe ve 3. ise importları düzeltilmiş ve hiç bir koruması kalmayan exe. Hepsi bu.

14. evet toplayın tezgahı oyun zamanı kolay gelsin. Siz yine de orijinal exe yi silmeyin misafirler için.

Son Notlar