Archive for November 2, 2014

OllyDBG_tut25

Posted: November 2, 2014 in OllyDbg Tutorials, OllyDBG_tut25
Tags:

Trong phần 24, tôi đã cùng các bạn phân tích một crackme rất dị có tên là Antisocial1.exe, crackme này hội tụ lung tung các tricks Anti-Debug, và hi vọng nó không làm các bạn bực mình. Kết thúc phần 24 cũng đồng thời là chủ đề về Anti-Debug xin được dừng lại để dành đất cho các chủ đề khác. Kể từ phần 25 này và các phần tới đây (nếu tôi không bận ) chúng ta sẽ dành thời gian để tìm hiểu về Unpacking.

‘Packer’ được xem như là một chương trình nén, được sử dụng để nén một file thực thi (executable file). Các chương trình này ra đời bắt nguồn từ mục đích muốn làm giảm kích thước của file, làm cho việc tải file nhanh hơn, tương tự các trình nén file như WinZip/Winrar. Tuy nhiên, bên cạnh việc nén, các trình packer cũng thường che dấu file gốc (original file) và gây nhiều khó khăn trong việc phân tích một file đã bị packed.

Rất nhiều các coder hay các hãng phần mềm sử dụng packer nhằm mục đích khiến các tay cracker/reverser phải khó khăn hơn và tốn thời gian hơn trong việc crack hoặc reverse phần mềm của họ. Đối với những kẻ chuyên phát tán các phần mềm độc hại (malicious software) thì còn một mục đích nữa là kéo dài thời gian tồn tại của phần mềm càng lâu bị phát hiện càng tốt . Theo thời gian, các trình packers ngày càng trở nên phức tạp hơn, kéo theo đó là việc có rất nhiều thủ thuật nâng cao nhằm để bảo vệ chương trình. Phần 25 này tôi sẽ giới thiệu tới các bạn một số kiến thức cơ bản, là tiền đề tiếp nối cho các phần tiếp theo.

Download link:
https://mega.nz/#!n8chyY4S!i8jyaJTQUPut7aNZHonl7DkgoUE5DXrHQIsHsbQu-94

Regards,
m4n0w4r


source: http://bbs.pediy.com
Supported versions 6.3 / 6.5 / 6.6

6.3 6.5 6.6 are tested, you can not back up, support change back to capital, then changed back to MD5 and source files are the same.

6.3 and earlier versions do not support the ARMv8 instruction set.

Other versions of the backup before try and try again, trouble Province, I know you are lazy.

To modify a file in IDA 6.X \ procs \ arm.w32 and arm64.w64

arm.w32 6.5 / 6.6 source files can not seem to put, sue me for the user to compile the province, it is written in a kind of signature positioning, to put the annex, the code is not tucao me. .

Simple posted about finishing off the information to facilitate thought you modify:
ida6.x ARMv1-ARMv8:

suffix:

Signed: 0x85D6 mov byte [esi],’S’ C6 06 53 46 8D

Byte: 0x8613 mov byte [esi],’B’ C6 06 42 46 8D

Half: 0x8651 mov byte [esi],’H’ C6 06 48 46 8D

thumb2->Wide: mov byte [esi],’W’ C6 06 57 46 8D
thumb2->Narrow: (hidden)

LE/BE: “LEBE”
Length: 8

ARMv8: “FMINNMVFMINV”
Length: 2884

ARMv1 — ARMv7: “VZIPVUZP”
Length: 3100

Register : “VFNFZFCF”
Length: 624

Bxx: “EQNECSCCMIPLVSVCHILSGELTGTALNV”
“NVALGTLTGELSHIVCVSPLMICCCSNEEQ”

LDMxx:
STMxx:
“EDFDEAFADADBIAIB”

Original:
upper case

Lower case:

Download here:
ida6.x_arm_disassemble.rar
http://www11.zippyshare.com/v/25398838/file.html

Regards,
m4n0w4r