UnPackMe4-->tELock

CagePac
Program Url:Buradan indirebilirsiniz...
Program Tipi:tELock

     Araçlar:

OllyDebug, Ollyscript, ImpRec 1.6, ImpRec Plugin

Basit (x )  Orta (x )  Zor ( )  Pro ()

Bu tutorial ile sadece tELock pack ini değil piyasadaki çoğu packer için kullanabilmeniz açısından önem taşımaktadır...

Başlangıç

tELock ile paketlenmiş ufak bir programcık
Yazı 



ilk olarak programa PEiD ile bakalım;




evet tElock ile packlenmiş öğrenmiş olduk.

şimdi programı olly ye yüklemeden önce "Debugging Options (Alt+O)-->Exceptions" bölümündeki tüm exception ları kaldıralım.;


  

ewt işlem tamamsa şimdi programı ollyye yükleyelim;


 

şimdi program çalışana kadar "Shift+F9" yapalım. tabi yaparken de sayalım : ) son exception a gelince (ben 20 tane saydım :D) ;

 

0046E83F teki gibi JNB SHORT xxxxxxx görecez(tüm tElock ta aynıdır) şimdi Alt+M ye tıklayalım;

 

programın code section bölümünde sağ tıklayıp "Set memory breakpoint on access" yapalım, bir adet Shift+F7(kernel32 deyiz) ve bir adet F9 

yaptıktan sonra OEP teyiz. 



bu noktadaydan kreking te kullanılan bazı kısaltmaları vereyim;

EP: Entry Point

OEP: Orginal Entry Point,

RVA: Relative Virtual Address

bu noktadan sonra programı dump edip importlarını düzeltecez, dump etmek için ollydump pluginini kullanabiliriz (Seçim sizin yani);


 

karşımıza çıkacak ekranda 2 bölüm değişecek bunlardan biri oep (kısayol: Get EIP as OEP e tıklarsak bulduğumuz OEP i oraya atacaktır 

eğeratmassa bir sorun var demektir ve bulduğunuz OEP in üzerine gelip "CTRL+*" dememiz yeterlidir) diğeri ise "Rebuild Import" bölümünün 

tıklanmaması yani biz importları harici olarak düzeltecez (ImpRec 1.6 ile : ) ). 



programımızı dump ettik ve Dumped.exe olarak kaydettikten sonra ImpRec ile programımız yükleyelim OEP imizi yazdıktan sonra "IAT AutoSearch" 

e tıklıyoruz;



"Get Imports" tıklıyoruz ve 


 

importlar karşımıza çıkıyor ama problemlilerde karşımıza çıkıyor :D

bunun için "Show Invalid" e tıklıyoruz;



daha sonra sonra "ImpRec" te sağ tıklayıp "Plugin Tracers"-->"tELock 0.98b1" e tıklıyoruz 

 

çoğu düzeldikten sonra geri kalanları "Cut thunk(s)" diyip uçuruyoruz; 



daha sonra "Fix Dump" diyoruz ve dump ettiğimiz Dumped.exe dosyasını  gösteriyoruz ve bir adet Dumped_.exe dosyamış oluşuyor : ) hayırlı olsun 

:D





  
  

    
      
Son Notlar 
  


Bu yazıda yazım yanlışları , bilgi hatası olabilir.Eğer bir yanlış bulursanız bana forumdan pm atarak ulaşabilirsiniz...


Teşekkür


MrStop, renaTgaD, WRC, vona, odin, slayer ve tüm MDK-DTCG grubu üyeleri...