Patte-PELU
Par Baboon le vendredi, novembre 21 2008, 11:37 - Lien permanent
Sali sali salut
Mon dernier papier est disponible sur le site de la FAT (rubrique .data et .code).
Etant un FATien il fallait bien que je produise mon article annuel, ces derniers temps je n'avais meme plus StarCraft pour compenser ma non-productivité 
Bref cet article est consacré à PELock et à la programmation d'un "unpacker" avec bee-lee, bonne lecture et si vous avez des questions : le forum de la FAT vous est ouvert 
Commentaires
\ô> Baboon,
Joli travail qui montre de plus l'utilité de ta lib beeiiinjj
J'ai moi même entièrement tracé ce packer il y a environ 5 ou 6 ans, c'était une protection très sérieuse pour l'époque !
Sinon j'ai quelques remarques pour compléter un petit peu ton analyse :
1) Il y a également un feature qui permet de crypter/décrypter des bouts de code à la volée, qui n'est pas utilisé dans ton binaire.
2) Les anti XXX sont surtout des anti softice, des vieux anti dumps et autres anti filemon/regmon. Peu de gens utilisaient Olly quand cette protection a été conçue.
3) Patcher la redirection des imports dans le loader s'avérait assez pénible vu qu'il faisait un crc sur cette partie du code, le crc servant à décrypter des rvas.
Par ailleurs la redirection de code a un gros bug, elle redirige toutes les fonctions de tous les modules, alors que l'on sait depuis le temps qu'il faut juste rediriger quelques modules comme user32, kernel32 et advapi32.
Pour l'époque, la polymorphisation des instructions et le junk étaient d'excellente qualité, donc un peu d'indulgence
Je m'étais beaucoup amusé avec, merci de m'avoir rappelé cette aventure
Encore bravo.
Ca fait plaisir de voir que tu n'es pas mort
J'ai vu sur FC que tu aimais bien ce packer en faisant quelques recherches :P
Sinon je ne doute pas que ce packer etait en avance lorsqu'il est sortit mais je trouve dommage qu'il n'ai pas evolué, ca aurait pu donner un truc simpa avec un poly un peu plus poussé et peut etre des anti-debugers plus récents, c'est ce que je voulais dire quand je critiquais un peu l'obfuscation
Sinon je cherche des softs/malwares packés avec PELock histoire d'améliorer peut etre un peu mon unpacker qui est loin d'être générique si tu as ca en stock n'hesites pas à me mailer
bref c'est toujours simpa d'avoir un commentaire de Dieu