exe-pack.txt

FSG加密工具2.0＋源代码经典加壳程序

EXE-Przemyslenia

Cze swirusy, dzisiaj chcialem was zanudzic moimi wywodami nt.
exepakerow/protektorow czy jak mawiaja ziomkowie z amigowej
sceny crunchery (przy okazji chcialbym pozdrowic jednego
extremiste amigowego, sordana, ktory probowal mi udowodnic, ze
tak naprawde amiga rulz a "klon" ciagnie pauke, koles bardzo
sie staral, ale nie przekonal mnie i nadal uparcie twierdze,
ze scena to miejsce gdzie wystepuja takie gwiazdy jak Kelly
Family i pseudo gwiazdy jak Natalia Kukulska), dosyc
pierniczenia w nawiasach, ktore tak uwielbiam, rynek exepakerow
ostatnimi czasy przezywa prawdziwy kryzys, jedyne pakery jakie
wyszly w ostatnim roku to updaty UPXa, PECompata i tELocka i
zasadniczo niczego nie zmieniaja, UPX nadal ten sam i jeszcze
pliki mozna rozpakowac z samego UPXa, co to qrwa jest WinZip??
PECompact i tELock to inna bajka, chociaz ten kto sledzil rozwoj
PECompata zapewne wie, ze sam kod loader-a praktycznie od roku
nic sie nie zmienil, ten kto ogladal zrodla VGShrinkera moze
odniesc wrazenie, ze duzo sie nie zmienilo, unpakery do PEC
dostepne sa publicznie, ale o nich rowniez za chwile.tELock
to jakby powiew swiezosci, duzo nowych trikow, mozna sie wiele
rzeczy dowiedziec sledzac zarowno kod loadera jak i sam proces
pakowania plikow przez tELocka(polecam wrzucic do idy), ale tE
chyba wnerwil duzo ludzi, bo co wyjdzie nowa wersja jego proda
nastepnego dnia jest juz unpaker, niezla paranoja nie, tE na
forum fravii stwierdzil, ze zaprzestal rozwoju tELocka i zamierza
zaczac prace nad "czystym" exe-pakerem coz zobaczymy jak bedzie.
Mialem powiedziec cos o unpakerech, ten cud to marzenie kazdego
chlopca, nie ma jak wrzucic exeka do maszynki do mielenia i
wszystko jest jak trzeba, sama idea unpakerow jest fajna,
nie trzeba znac sie na rozpakowywaniu exekow, zreszta nie kazdego
to bawi, mnie to przynajmniej nie rajcuje (jestem strasznym leniem),
siedziec w si, kolejno zrzucac sekcje, odbudowywac recznie importy
(w sumie jak w zyciu wszystko sprowadza sie do sexu tak w PE wszystko
sprowadza sie do zjebanych importow) i potem wszystko laczyc w
calosc po to zeby "ladnie" wygladal deadlisting i zeby dowiedziec
sie o kolejnym sumowaniu name ;), juz lepiej olac to i zrzucic
exeka z procdumpa, ewentualnie zapisac odbudowane importy z revirgina
i wrzucic wszystko do idy aplikujac wszystkie mozliwe flirty dla
danego kompilatora.Apropos msg boarda fravii, jesli ktos tam siedzi
to zapewne zauwazyl, ze zabronione jest pisanie o automatach do
rozpakowywania, ale czczona jest idea recznego rozpakowywania
(masochizm jest w modzie), ale z malym zastrzezeniem, mozna
uzywac revirgina, ktory to rowniez jest automatem i kto tu
zwariowal?Kontynuujac watek, ktory utracilem, maly wysyp pakerow
moze byc tez powowdowany komplikacjami przy budowie tego stwora,
wiecie pisze sie to gowno, aplikuje mu sie wszystkie triki
antydebug (nie zapominajac o \\.\SMALEC ;), ring0 bajery ogolnie
nie z tego wymiaru, potem przychodzi faza testow i okazuje sie,
ze po pierwsze nasze gowno u nikogo nie pakuje poprawnie exekow,
u pierwszej polowy okazuje sie, ze robi blue i green screeny,
u drugiej nic sie nie dzieje (a potem okazuje sie, ze jedna
miala CIHa a druga jakiegos polimorficznego virka i qrwa "nic
nie chodzi, ale z ciebie haker" ;), gdy juz uporamy sie z
virusami dowiadujemy sie, ze troche "za duzo" bajerow
wcisnelismy do kodu i tez nigdzie sie nie chce uruchamiac,
kolejny miesiac testow, wreszcie dziala (chuj, ze kazdy moze sobie
bez problemow zrzucic spakowanego exeka po wywaleniu tych wszystkich
anty-shitow), kolejny etap, testowanie exekow, to jest dopiero zabawa,
explorujac ten obszar mozna sie niezle zdziwic ile jest kompilatorow
na rynku (nie wspominajac o tym, ze kazdy ma swoj sposob zapisu danych
w PE), jesli juz to przejdziemy i 50% exekow bedzie sie uruchamialo
(do testow polecam winword.exe z ms97, do dzisiaj nie wiem jak go
poprawnie "obsluzyc") mozna nazwac siebie czlowiekiem sukcesu, w
zasadzie cala zabawa opiera sie glownie na debugowaniu i ciaglemu
ulepszaniu kodu, usuwaniu bugow, ale sama struktura PE,
jesli jest uzyta zgodnie z ksiazkowymi zasadami nie nastrecza duzych
klopotow przy projektowaniu takiego exepakera.Sam proces tworzenia
mozna podzielic, na pare czesci (wg. wlasnego doswiadczenia), 1 czesc
planowanie, co jak i do czego ma sluzyc paker, tutaj jest szerokie pole
do popisu dla wyobrazni, jesli to ma byc protektor mozna sie spodziewac
duzych komplikacji przy pisaniu zabezpieczen, trzeba nastawic sie rowniez
na wymyslanie wlasnych koncepcji i trikow jesli to ma byc protektor
"na czasie" (compatible antidebugging, polimorfizm, triki z wyjatkami,
szyfrowanie kodu, anty-dump), jesli nasz prod ma byc czystej krwi pakerem
nalezy sobie obmyslic sprytny plan jak beda zapisane skompresowane dane
i dazyc do jak najlepszej metody kompresji (jakie algo ma byc uzyte,
laczenie sekcji, usuwanie alignmentow, minimalizacja kodu, sprytna
reorganizacja danych w tabeli importow itd.), 2 etap to pisanie, ta
faza przynajmniej w moim wypadku przebiegala bardzo szybko i przyjemnie,
3 etap to korygowanie wszystkiego tego co napisalismy w 2 fazie, tutaj
przydaja sie wszelkiego rodzaju przewodniki i tutoriale o formacie PE
i duuuzo czasu na testy, ofcoz nie nalezy zapominac o ladnym opakowaniu
towaru po jego ukonczeniu, jakies wyjebane GUI albo konsola dla fanow
.bat-ow (lub to i to), to tez zajmie troche czasu naszego zycia, w
sumie mozna to olac skoro paker i tak dziala, kogo wali, ze wyswietli
mi ladne podsumowanie skoro jesli nie wyswietli to efekt i tak bedzie
ten sam, spakowany exek i dla mnie tylko to sie liczy.Jesli w zyciu
nie pisaliscie zadnego exepakera na poczatek sugeruje zrobic cos prostego
np. proga, ktory zaszyfruje wszystkie sekcje prostym xor-em, doda do
exeka swoja sekcje gdzie znajdzie sie kod deszyfrujacy sekcje i skok
do oryginalnego entyrpointa, bez obslugi importow itp. jesli sie wam
spodoba nic nie stoi na przeszkodzie, zeby rozwinac program dodajac
obsluge importow i kolejno zasobow, relokacji, malymi krokami mozna
dojsc do wielkich rzeczy, nikt od razu nie zaczynal od pisania
wszystkiego na raz.Przydatne w pisaniu 1 proga moga okazac sie zrodla
innych pakerow (moje czasami tez ;) VGCrypt, VGShrinker, PeX, NFO,
Yoda Crypt 1.1 i 1.2, caly stuff mozna znalezc na http://protools.cjb.net
(jesli jeszcze istnieje :), zbior wszystkich starszych i nowszych exe-pakerow
i wszelkiej masci progow (wraz ze zrodlekami) zwiazanych z exe wisi
na www.exetools.com (butthead kiedy obsluga hyperlinkow z maga? :)
Jesli zamierzacie pisac protektora polecam analize wszystkich starszych protektorow
PelockNt, PEShield, PE-Crypt, w tym ostatnim polecam przesledzic wykonywany
call do api gdy wlaczona jest opcja redirectingu, mimo, ze sam PE-Crypt
jest stary i juz wyszly do niego unpakery (chyba 1den), techniki uzyte w
tym progu sa na miare 2oo2 i az milo sie wciska f8.

Mam nadzieje, ze ten maly txt zacheci was do proby napisania chocby prostego
pakera (mimo wszystkich przeciwnosci jakie przedstawilem), bo satysfakcja
jest duzo wieksza niz po zlamaniu "kolejnego" proga.

W zalaczniku prosty encryptor plikow PE EXE wraz ze zrodelkami (DEF).

bart