[SUCHE] Tutrial zu Armadillo

ingam0r · 10/07/2007, 00:28

Hi!

Gibt es irgendwo ein Tutorial zum entpacken von ausführbaren Dateien, die mit Armadillo gepackt wurden. Hab schon ein paar automatische Unpacker probiert (z.B. KillDill, ArmGUI, DilloDie, usw.) aber leider mit keinem Glück gehabt. Das Tutorial der "Unpacking Gods" hab ich auch schon gelesen. Aber leider hat mir das nicht viel gebracht.

Könnte mir da vielleicht jemand behilflich sein?

Viele Grüße,
ingam0r

syntex · 10/07/2007, 14:44

welcher server?
armadillo ist eiglt einfach zu entpacken aber vllt wurde es auch nicht mit armadillo gepackt..

schreib mal details .. oder uppe mal dann mach ich dir ein Tutorial dazu.
Für die Datei und fürs allgemeine entpacken ..

ingam0r · 10/07/2007, 15:49

Öhm... die engine.exe vom Int-Server ist laut PeID mit Armadillo 3.78 oder höher gepackt worden.

Wenn ich die Datei mit Olly aufmache, dann komm ich auch zum EP des Armadillo-Loaders. Zumindest sieht der mir präsentierte Loader aus wie einer den ich in nem UnpackMe zu Armadillo gesehen hab.

Leider komm ich mit Olly nicht weiter. Bekomme die ganze Zeit Exceptions um die Ohren geworfen. Ich komme noch nicht einmal zu der Stelle, wo Armadillo IsDebuggerPresent abfrägt. (Setzt natürlich vorraus, dass die Engine mit der "Debug Blocker"-Option gepackt wurde)

Wär nett, wenn Du mir helfen könntest. Danke schonmal!

Zeroooo · 10/07/2007, 19:58

int engine.exe cannot be unpacked with any public unpacker. the NULL NULL error will show no matter what, gotta use Olly or some other tool.

ingam0r · 10/11/2007, 19:26

Hi syntex!
bloodx hat mir zwar ne entpackte Engine vom offiziellen Server hochgeladen, ich wollte es aber trotzdem lieber nochmal alleine probieren mit dem Entpacken. Nur so lernt man.

Bin mittlerweile soweit gekommen. Allerdings gehen mir langsam die Ideen aus:

Im Segment .adata ist der Decrypter der den Armadillo Loader entpackt.
Im Segment .text1 ist der eigentliche Loader.

Ich setze also nen Hardware Breakpoint auf die Speicheradresse des .text1-Segments. Der wird beim ersten und beim zweiten Durchlauf der Entschlüsselung getriggert. Wenn dieser Breakpoint das dritte mal getriggert wird, dann ist der komplette Loader entpackt und der Instruction Pointer steht an der Startadresse des Loaders (0079D4F2) wo ich folgendes finde:

Quote:

0079D4F2 . E8 E3400000 CALL engine.007A15DA
0079D4F7 .^E9 16FEFFFF JMP engine.0079D312
0079D4FC $ 6A 0C PUSH 0C
0079D4FE . 68 B0B07C00 PUSH engine.007CB0B0
0079D503 . E8 44150000 CALL engine.0079EA4C
...

Der Loader entschlüsselt ja nun den eigentlichen Code, der sich glaube ich im .text-Segment befindet und splittet sich anschliessend an bestimmten Stellen in Vater und Kindsprozess.

Der Vaterprozess hängt sich selbst als Debugger an den Kindsprozess um bestimmte Exceptions abzufangen. Das Splitten läuft mit Hilfe eines Mutex.

Ich hab mir also gedacht ich könnte einfach hier nen Breakpoint setzen:

Quote:

Names in kernel32, item 95
Address=7C80EB3F
Section=.text
Type=Export (Known)
Name=CreateMutexA

Nunja... der Breakpoint wird zwar ein paarmal getriggert, allerdings komm ich nicht so wirklich weiter. Ich habs irgendwie noch nicht geschafft die Stelle zu finden, an der der Kindprozess gestartet wird.

Hast Du, oder irgendjemand anderes der diesen Thread liest, noch ein paar Tipps parat?

Edit: Ist dieses tolle Copymem2 eigentlich standardmässig aktiviert, wenn man Dateien mit Armadillo packt?

Edit2: Wäre es sinnvoll, bzw. gibt es in Olly die Möglichkeit einen Run-Trace zu machen und an den Stellen wo CreateMutexA aufgerufen wird, bzw. wo schreibende Zugriffe auf das .text-Segment erfolgen, Log-Einträge zu generieren? Schreibende Zugriffe auf das .text-Segment deshalb, weil ja irgendwo der verschlüsselte Code dadrin entschlüsselt werden muss.

Danke und viele Grüße,
ingam0r

ingam0r · 10/13/2007, 20:15

bump (@mods: please forgive me for bumping this)

ingam0r · 10/15/2007, 09:29

Okay, ich habs jetzt geschafft nen Dump zu bekommen. Jetzt müssen nur noch die Import-Tabelle und der PE-Header gefixt werden. Dann gibt's endlich ne lauffähige engine ohne Packer.

Hat jemand ne Ahnung, ob das Hackshield nochmal irgendwelche CRC-Checks macht? Kann mir nicht vorstellen, dass HS das Fehlen der Protection einfach so hinnehmen wird. Aber... wir werden sehen.