Modifikace .exe souboru

HackForum

Modifikace .exe souboru#
Zdravím, potřebuju předělat jeden .exe soubor. Potřebuji předělat určitou jeho část, ale pokaždé mi to vyhodí chybu.
Používám program Resource Hacker, a když spustím část, kterou chci předělat vyjede chyba:
"This file has a non-standart resource layout...
it has probably been compressed with an "EXE compresoor"."
Už jsem zkoušel programem UPX rozbalit, ale nefunguje - neví někdo jak upravit tento soubor?

(odpovědět)
disIT | 79.98.153.*31.8.2015 0:06
re: Modifikace .exe souboru#
odporucam [link]
(odpovědět)
[n] | 195.168.124.*31.8.2015 7:55
re: Modifikace .exe souboru#
V prvé řadě musíš zjistit, čím je daná binárka packovaná/komprimovaná. Pokud se jedná o veřejně rozšířený packer/crypter, měl by ho být schopný PeID detekovat ([link]).
Pokud se jedná o něco neznámého, pak budeš muset provést dekompresi/unpacking ručně a následně provést dump paměti a případně fix vydumpované binárky (většinou tabulka relokací). Samotná úprava souboru je pak již postavena na tom, co přesně chceš, aby se s binárkou stalo. Zda chceš přidat do aplikace funkcionalitu, kterou nemá nebo opravit chybu, kterou již autor neopraví, protože ukončil vývoj...

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website31.8.2015 11:37
re: Modifikace .exe souboru#
Zkusil jsem PeID a detekoval mi packer:
ASPack 2.12 -> Alexey Solodovnikov
Teď přemýšlim jaké další kroky mám udělat. Jedná se mi o to opravit tam pár funkcí, které občas za nějakých okolonstí ,,zlobí" a poté přejmenovat soubor (tím myslím, že když pustíš program tak nahoře v liště máš napsáno jak se jmenuje.)
(odpovědět)
disIT | 79.98.153.*31.8.2015 11:55
re: Modifikace .exe souboru#
ASPack se dá velmi jednoduše unpacknout.

Co se týká úpravy těch funkcí: Pokud se jedná o nahodilou chybu, která se projevuje skutečně jen ve specifických situacích, může být odstranění problému poměrně časově náročné.

Pokud jsi nic podobného ještě nezkoušel, doporučuji nejprve nastudovat danou problematiku.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website31.8.2015 12:16
re: Modifikace .exe souboru#
Zkoušel jsem unpacknout ten .exe soubor. Použil jsem na detekci PEiD, originál soubor má ASPack a potom co ho unpacknu tak PEiD píše "Nothing found *" a soubour je unpacknutý.
Ale pokud jej spustím program napíše ".exe přestal pracovat"
A to jsem tam zatím nic nepřidával.
Zkoušel jsem ho unpacknout ještě manuálně, ale to mi zase píše ochrana proti pointbreaku...
(odpovědět)
disIT | 79.98.153.*1.9.2015 12:16
re: Modifikace .exe souboru#
Je třeba provést rebuild .exe (tedy PE) souboru, který správně pozmění adresy v rámci binárky (sekce, importy, relokace atd atd). Osobně sázím, že bude problém v IAT tabulce. Pro její opravu se dá využít třeba (Import Reconstructor aka ImpREC) ([link]).

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website1.9.2015 16:16
re: Modifikace .exe souboru#
Taky jsem zkoumal a taky jsem narazil na ImpREC, jak si poradil tak jsem zkusil, ale bohužel, když zadám OEP a dám ,,IAT AutoSearch", tak mi to vyhodí chybu "Invalid OEP! It does not match in the process memory."
Přitom v OllyDbg přes dump debugger jsem si OEP našel a udělal dump.
(odpovědět)
disIT | 79.98.153.*1.9.2015 18:59
re: Modifikace .exe souboru#
a nechal si ollydbg otvorený a EIP v olly ukazoval na OEP?
(odpovědět)
troto | E-mail2.9.2015 19:32
re: Modifikace .exe souboru#
Ano nechal jsem OllyDbg otevřený, a ano Olly mi ukazoval OEP.
(odpovědět)
disIT | 79.98.153.*3.9.2015 15:49
re: Modifikace .exe souboru#
a OEP zadávaš ako offset + base alebo len offset? poprípade ak to nie je niečo tajné tak to niekam hoď :)
(odpovědět)
troto | E-mail3.9.2015 19:25
re: Modifikace .exe souboru#
OEP zadávám jako OFFSET. Jasný pokud bys byl tak hodnej a unpacknul mi to, byl bych moc rád, ale chtěl bych na to přijít sám, abych to podruhé už taky dokázal.
(odpovědět)
disIT | 79.98.153.*3.9.2015 19:51
re: Modifikace .exe souboru#
jasné chápem lenže je pre mňa lepšie to vidieť a skúsiť si to unpaknúť a potom poradiť ako sa vypytovať na každú vec :D
(odpovědět)
troto | E-mail3.9.2015 20:15
re: Modifikace .exe souboru#
Já se s tím zkusím poprat, a pokud budu opravdu v koncích tak ti můžu napsat a domluvíme se? :) Kdyžtak moc děkuju za ochotu!


_____________________

Všem co se snažili pomáhat!
(odpovědět)
disIT | 79.98.153.*3.9.2015 20:34
re: Modifikace .exe souboru#
v poriadku potom daj vedieť ako sa zadarilo :)
(odpovědět)
troto | E-mail4.9.2015 19:47
re: Modifikace .exe souboru#
Dneska se mi podařilo soubor unpacknout. Po zkontrolování přes PEiD je to unpacknuto úspěšně.
Ale pokud chci .exe soubor spustit tak se nic nestane. Takže mám dojem, že soubor je nějak dál chráněn.
(odpovědět)
disIT | 79.98.153.*5.9.2015 15:53

Zpět
 
 
 

 
BBCode