распаковка elf-файла, пожатого кастомным upx

Тема в разделе "WASM.BEGINNERS", создана пользователем voffka0, 3 май 2020.

Метки:
  1. voffka0

    voffka0 Member

    Публикаций:
    0
    Регистрация:
    22 янв 2019
    Сообщения:
    138
    привет всем! опыта в реверсинге у мну 0.0001, т.е. могу загрузить в иду код и посмотреть в отладчике как меняются регистры и стэк....но мануалы интела читал наискосок, поэтому архитектуру знаю поверхностно...что нужно? нужно распаковать один эльф, я его приложу, и использовать его алгоритмы для решения задачи оптимизации...собственно вопрос: с чего начать? я начал читать https://intezer.com/blog/research/executable-linkable-format-101-part1-sections-segments/ , ничего не понятно, но очень интересно...и загружал в иду и смотрел в дебаггере как меняются регистры...собственно как прийти к исходному компилируемому коду? неужели каждую инструкцию выписывать ручками из отладчика?
     

    Вложения:

    • elf.zip
      Размер файла:
      545,2 КБ
      Просмотров:
      176
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.787
    voffka0,

    Эльф это никсовое, тут не популярно. Исходить следует из общего подхода, не имеет значения формат или слой протектора. Необходимо найти OEP, точку входа после снятия протектора. Это значит что необходимо снять трассу, при этом определить критерий EP. На NT этим критерием является абсолютная адресация, это работает на любом протекторе. Недавно на этом слился весь крэклаб на каком то семпле, который решила автоматика.

    Другой вопрос как снять трассу. Тем более что это никсовое.
     
  3. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.787
    voffka0,

    Эта задача решена https://wasm.in/threads/oep-protektory.33242/

    Забавно, на кл один из доверенных пользователей вкинул семпл типо слабо решить, никто не смог. Визор искал OEP 4 часа при 4-х запусках, затем успешно её нашёл, при этом был снят лог активности https://exelab.ru/f/?action=vthread&forum=13&topic=26404&page=3#4
    --- Сообщение объединено, 3 май 2020 ---
    Эта площадка создана для технических обсуждений или может это не так ?

    Раз такое дело, тогда любой ответ будет через комерс :preved:
     
  4. voffka0

    voffka0 Member

    Публикаций:
    0
    Регистрация:
    22 янв 2019
    Сообщения:
    138
    пожалуйста, это не мне надо, http://prize.hutter1.net/ https://encode.su/ :clapping:я ваще за хлеб за воду за свободу :declare:
     
    Последнее редактирование модератором: 3 май 2020
  5. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.787
    Вот же прикол, тему создал и оказалось не осилил из за сложности и это вообще не его задача, халявы захотелось. Забанить обоих вместе с модером.
    --- Сообщение объединено, 3 май 2020 ---
    wtf, заинтересованные лица ?

    Логическая цепь сходится. Как это допустили !?
    --- Сообщение объединено, 3 май 2020 ---
    up notify
     

    Вложения:

    • mike.png
      mike.png
      Размер файла:
      24,2 КБ
      Просмотров:
      178
  6. voffka0

    voffka0 Member

    Публикаций:
    0
    Регистрация:
    22 янв 2019
    Сообщения:
    138
    именно эта задача не решена, upx не рассматривался в той теме...как определить oep для кастомного upx-эльфа? ну да, коммерц так коммерц, посчитай за одно сколько стоит поднять спеца уровня этого re с пелёнок и готовь кошелёк, каждая следующая буква - шекель! :preved:а у меня безвозвратный кредит на всю жизнь под именем пенсионный фонд, время медленно, но верно работает на меня :derisive:
     
    Последнее редактирование: 25 дек 2020
  7. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    4.861
    Aiks и voffka0 нравится это.
  8. voffka0

    voffka0 Member

    Публикаций:
    0
    Регистрация:
    22 янв 2019
    Сообщения:
    138
    другое дело, надо ли мне его распаковывать? мне нужно досконально изучить и усовершенствовать алгоритм, а это только под отладчиком, ida freeware 7.0 for linux debugger подходит, правда она навернула базы данных по этому эльфу 17 гигабайт, но уж развернула всё, что можно, даже libc-функции...неудобно, что загружается и выгружается по 10 минут...но это при старте и конце работы...но oep всё равно найти нужно!