Взлом запакованного билда UFR Stealer с помощью OllyDbg

Discussion in 'Video.Antichat' started by Nu11ers3t, 29 Nov 2013.

  1. Nu11ers3t

    Nu11ers3t Member

    Joined:
    1 Aug 2013
    Messages:
    38
    Likes Received:
    25
    Reputations:
    19
    Всем привет, собственно сабж: Видео клик


    Олю скачать можно отсюда: Скачать

    Жертв найти можно на http://rghost.ru/search

    Там много всякой бяки.


    Всем удачи


    P.S

    Горячие клавиши:

    F4 - запуск программы до курсора ( останавливает выполнение программы, где выбрали нужную строку. Работает как и бряки, только удобнее, когда надо пропустить цикл и т.д )
    F8 - шаг вперед без входа в функции
    F7 - шаг вперед со входом внутрь функций
    F9 - запуск программы
     
    #1 Nu11ers3t, 29 Nov 2013
    Last edited: 29 Nov 2013
    5 people like this.
  2. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    А мне понравилось :) Все быстро, коротко... Можете добавить пояснения по горячим клавишам?


    Участвуйте в конкурсе, у вас есть неплохие шансы.
     
  3. Nu11ers3t

    Nu11ers3t Member

    Joined:
    1 Aug 2013
    Messages:
    38
    Likes Received:
    25
    Reputations:
    19
    Добавил пояснения к горячим клавишам.

    P.S. Что за конкурс? :D
     
  4. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    917
    Likes Received:
    492
    Reputations:
    724
    Подозреваю, что всё делается проще.
    1) Качаем любой анпакер UPX, их много.
    2) Использем утилиту strings в линуксах (для windows )
    3) Profit
     
    _________________________
    1 person likes this.
  5. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    Видео интересное, мне понравилось, но этот метод знаю уже как года четыре, мне товарищ в реале показывал, он таким методом ботнеты и логи угонял, целенаправлено лазил в поисках зараженных сайтов связками и ловил гадость, затем у себя на компе, через тот же самый ollydbg выдергивал данные от фтп акков и всякой всячины)
    в любом случае зачет!
     
    _________________________
  6. Nu11ers3t

    Nu11ers3t Member

    Joined:
    1 Aug 2013
    Messages:
    38
    Likes Received:
    25
    Reputations:
    19
    Не работает твой способ, слишком много мусора. Сам попробуй прежде чем писать
     
    1 person likes this.
  7. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    313
    Likes Received:
    63
    Reputations:
    66
    Лол! Его сам UPX распаковал.При том он еще и запускается вполне нормально ;)

    [​IMG]
     
    #7 t3cHn0iD, 1 Dec 2013
    Last edited: 1 Dec 2013
    2 people like this.
  8. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    917
    Likes Received:
    492
    Reputations:
    724
    RomanxD, ладно, верю.
    Before:
    [​IMG]
    After:
    [​IMG]

    Nu11ers3t, скинешь файл? Проверю.
    t3cHn0iD, зачем быстро пишешь? (=
     
    _________________________
    1 person likes this.
  9. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    313
    Likes Received:
    63
    Reputations:
    66
    Красава, только пеид частенько брехню пускает в плане версий, вся его косячность в сигнатурах.
     
    #9 t3cHn0iD, 1 Dec 2013
    Last edited: 1 Dec 2013
  10. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    917
    Likes Received:
    492
    Reputations:
    724
    t3cHn0iD, раньше добавлял сигнатуры вручную, сейчас пейд остался по привычке (=
     
    _________________________
  11. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    313
    Likes Received:
    63
    Reputations:
    66
    Эм, ну вообще-то
    Эти слова означали, что ты не мог(смог) распаковать билдер сам, речь не шла о трое.Так что фэйл за тобой.
     
    #11 t3cHn0iD, 2 Dec 2013
    Last edited: 2 Dec 2013
  12. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    313
    Likes Received:
    63
    Reputations:
    66
    Hard way

    Ок.Создадим два билда - первый из них пусть UFR сам упакует своим модифицированным UPX'ом, а второй мы создадим без упаковки, но сожмем уже самим UPX'ом:
    [​IMG]
    Размер у них получился одинаковый (UPX была дана команда максимального сжатия) и составляет 24,5 кб.
    Теперь откроем их в гекс редакторе для сравнения.
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
    Сразу же бросается в глаза то, что изменены байты в начале файла после PE заголовка, названия секций зашифрованы + занулена версия и идентификатор пакера, ну и конечно же видоизменено название вызываемых в проге фунок + вставка говнокода (как один из вариантов шифрования секций).
    Можно побитхачить в принципе, но это муторно, а можно создать универсальный патч.Ну это уже так, мне чисто делать нехер было.Кому надо, тот этим и займется, но я подозреваю, что какой-то скрэмблер такие штуки использовал.

     
    #12 t3cHn0iD, 3 Dec 2013
    Last edited: 3 Dec 2013