۱۹-خرداد-۱۳۸۷, ۲۱:۳۶:۴۵
upx یه برنامه برای فشرده سازی فایلهای exe هست که از اون به عنوان packer هم استفاده میشه چون میاد و نقطه شروع برنامه اصلی(oep) رو تغییر میده
برنامه های لازم
peid
ollyice یا ollydbg
به همراه پلاگین olly dump
اول برنامه رو با peid چک میکنیم و میبینیم که برنامه با upx این برنامه فشرده شده
![[تصویر: 16kdi7r.jpg]](http://i30.tinypic.com/16kdi7r.jpg)
حالا olly ice رو باز میکنیم و برنامه رو داخلش load میکنیم برنامه با دستوری به شکل pushad شروع میشه اینها روتینهای decompres مربوط به upx هستن
![[تصویر: 169m7t5.jpg]](http://i32.tinypic.com/169m7t5.jpg)
حالا به سمت پایین حرکتمیکنیم و کدها رو برسی میکنیم هر جا که به
POPAD
JMP XXXXXX
![[تصویر: 11mevm1.jpg]](http://i31.tinypic.com/11mevm1.jpg)
که منظور از xxxxxx جایی که برنامه اصلی و آنپک شده هست
ما روی این خط jMP XXXXX با F2 یه bpbreakpoint میزاریم یه f9 میزنیم تا برنامه اجرا بشه و یک F7 حالا برنامه رو دامپ بگیرید
تو محیط برنامه راست کلیک کرده و dump debugged process رو انتخاب کنین و تو پنجره جدید dump رو بزنین
![[تصویر: 2w2r62a.jpg]](http://i30.tinypic.com/2w2r62a.jpg)
و پروژه رو save کنین
حالا دوباره پروژه رو تو peid باز کنین میبینین که برنامه decompress شده و متن microsoft visual basic 5/6 نشان دهنده همین امر میباشد
![[تصویر: 20uq1r6.jpg]](http://i32.tinypic.com/20uq1r6.jpg)
http://www.persianupload.com/files/53s6h...r2gbwg.exe
حجم 12 kb
موفق باشید
برنامه های لازم
peid
ollyice یا ollydbg
به همراه پلاگین olly dump
اول برنامه رو با peid چک میکنیم و میبینیم که برنامه با upx این برنامه فشرده شده
حالا olly ice رو باز میکنیم و برنامه رو داخلش load میکنیم برنامه با دستوری به شکل pushad شروع میشه اینها روتینهای decompres مربوط به upx هستن
حالا به سمت پایین حرکتمیکنیم و کدها رو برسی میکنیم هر جا که به
POPAD
JMP XXXXXX
که منظور از xxxxxx جایی که برنامه اصلی و آنپک شده هست
ما روی این خط jMP XXXXX با F2 یه bpbreakpoint میزاریم یه f9 میزنیم تا برنامه اجرا بشه و یک F7 حالا برنامه رو دامپ بگیرید
تو محیط برنامه راست کلیک کرده و dump debugged process رو انتخاب کنین و تو پنجره جدید dump رو بزنین
و پروژه رو save کنین
حالا دوباره پروژه رو تو peid باز کنین میبینین که برنامه decompress شده و متن microsoft visual basic 5/6 نشان دهنده همین امر میباشد
http://www.persianupload.com/files/53s6h...r2gbwg.exe
حجم 12 kb
موفق باشید