Manual Unpack Overview #1 by DizzY_D

[DizzY_D]

So Leute...
Es ist wiedermal so weit! Ein neues Tutorial von mir ist fertig. Dieses Mal ist es sogar eine ganze Tutorialserie!
Es geht um Manual Unpacking und ist für den totalen Unpack-Newb gedacht . Allerdings können auch Fortgeschrittene hier ihr Wissen vertiefen, denn ich habe keine Step- by Step Anleitung geschreieben, sondern die komplette Funktionsweise der UPX-Stub für euch unter die Lupe genommen. Außerdem werden die Grundfunktionen von Olly hier erklärt. Also auch was für Leute, die einfach nur OllyDBG ein bisschen besser kennenlernen wollen.
Das Tutorial liegt als PDF-File mit vielen Screenshots bei. Also vom Aufbau her besteht Ähnlichkeit mit meinem letzten Tutorial, was ja gut bei euch angekommen ist.

DL:
http://rapidshare.com/files/24678256...by_DizzY_D.rar

Das Tutorial sowie das behandelte UnpackMe sind enthalten. Die benötigten Tools (OllyDBG und ImpRec) sind leicht über google zu finden.

BITTE FEEDBACK GEBEN!

MfG DizzY_D

[fred777]

So DizzY_D, ich hab das ganze mal überflogen, da es nicht so recht neu war für mich und meine Meinung bezüglich Unpacking bleibt auch die selbe:
Trocken Brot
Aber ich finde du hast gut erklärt, wirklich für Anfänger geeignet und Humor ist ebenfalls dabei
Bin gespannt was noch so kommt

[G36KV]

Ich habs auch mal kurz überflogen und finde es auch gut.

Was du noch verbessern könntest:

• Die Screenshots sehen unscharf aus. Tipp: Benutz das geile Programm Snagit http://www.techsmith.de/snagit.asp
• Der Stack sorgt eigentlich immer etwas für Verwirrung, deshalb wäre es praktisch da ein kleines Beispiel zu machen z.b. push 1, push 2, pop eax. Welcher wert in eax?
• Deine BP beschreibung ist etwas komisch. BP ist doch ein Haltepunkt und kein Lesezeichen...
• Ich finde es nicht gut das du ein VB6 Target erklärst... VB6 ist immer etwas leichter und etwas eher spezielles.
• Die ESP-Trick Erklärung könnte etwas ausführlicher sein, da er bei vielen packern sehr gut funzt.
• Dein Tut richtet sich offensichtlich an Anfänger, aber ich weiss nicht ob ein Anfänger da überhaupt alles versteht. Ich meine manche Dinge kommen einfach zu kurz. Wird man dann aber noch sehen, wenn ein Anfänger sich dazu äussert

[DizzY_D]

Erstmal danke euch beiden für das Feedback.

So DizzY_D, ich hab das ganze mal überflogen, da es nicht so recht neu war für mich und meine Meinung bezüglich Unpacking bleibt auch die selbe:
Trocken Brot

Deine Meinung kann ich nicht verstehen. Natürlich ist es lästig, das Target erst unpacken zu müssen, damit man mit der eigentlichen "Arbeit" beginnen kann. Allerdings finde ich es sehr interessant sich über neue Protections Gedanken zu machen und anschließend zu umgehen. Deshalb gehört Unpacking für mich zu den interessantesten Bereichen im Thema RE.

• Deine BP beschreibung ist etwas komisch. BP ist doch ein Haltepunkt und kein Lesezeichen...

Das stimmt. Jedoch habe ich es nur an einer Stelle "Lesezeichen" gennant und es bei der Beschreibung von Hardware BPs anders erklärt.

• Ich finde es nicht gut das du ein VB6 Target erklärst... VB6 ist immer etwas leichter und etwas eher spezielles.

Ich glaube nicht, dass es bei UPX für einen Anfänger einen Unterschied macht, ob es sich beim Target um VB6 oder C++ handelt. Außerdem sind B6 Apps für den Anfänger übersichtlicher.

• Die ESP-Trick Erklärung könnte etwas ausführlicher sein, da er bei vielen packern sehr gut funzt.

Ich wüsste nicht, wo ich da noch ausführlicher werden sollte.

[G36KV]

Ich wüsste nicht, wo ich da noch ausführlicher werden sollte.

Den ESP-Trick auch mit screenshots an dem target erklären, meinte ich.

Ich glaube nicht, dass es bei UPX für einen Anfänger einen Unterschied macht, ob es sich beim Target um VB6 oder C++ handelt. Außerdem sind B6 Apps für den Anfänger übersichtlicher.

Naja man kann es auch anders sehen: Man lernt lieber mit C++ Targets und kann sich dann als Anfänger freuen, dass VB6 so einfach und übersichtlich ist

[cat125]

hi
eine frage

habt ihr informatik studirt oder habt ihr euch das selber beigebracht ?
wie lange hat das gedauert zu lernen?
ICH WILL AUCH SOWAS KÖNNEN -,-

sonst nice tut nur fast nichts verstanden -.-

mfg cat125

[DizzY_D]

habt ihr informatik studirt oder habt ihr euch das selber beigebracht ?

Nein, im Informatikstudium lernt man sowas leider nicht
Also ich hab es aus reinem Interesse selbst gelernt. Viel Zeit damit verbracht und viele, viele Tutorials gelesen

Hast du wirklich alles nicht verstanden oder kannst du genauer beschreiben, was du nicht verstanden hast?

So, ich habe die Tipps von G36 befolgt und den DL Link oben geändert.

[fred777]

Ja hast schon recht, sich Protections zu überlegen kann schon Spass machen..
Aber:

das Target erst unpacken zu müssen

Ist eben nicht so meine Lieblingsbeschäftigung

[cat125]

naja ich weiß ja nicht wo z.b. finde ich dieses POP oder LIFO
und diesen stack ???
so noobisch sich das auch anhört.
will umbedingt das PE Vormat kennen lernen und suche schon lange nach solchen tutorials nur das erscheint mir ein bischen schwierig
Mit welchen tutorials hast du angefangen Dizzy_D?

mfg cat125

[fred777]

http://de.wikipedia.org/wiki/Stapelspeicher
Sagt eigentlich alles über POP,PUSH und den Stack selber
Ansonsten empfehle ich erstmal die Grundlagen von Assembler zu lernen, da dich im Laufe der Zeit auch Register und Pointer begleiten werden
Zum PE-Format, schau dir das mal an:
http://win32assembly.online.fr/pe-tut1.html