Набор статей и руководств по дизассемблеру IDA

Как распаковать


Как ни странно, запакована только версия для Win32, причем Ильфак видимо считает пользователей своего продукта своими злейшими врагами - запакованы абсолютно все исполнимые модули (процессорные модули с расширением .w32 и загрузчики с расширением .ldw). Я лично так и не могу понять логику такого половинчатого решения - при большом желании я с равным успехом мог бы заняться анализом DOS или OS/2 версий (они не упакованы ВООБЩЕ НИЧЕМ). Ну да ладно, чужая шизофрения - потемки. Для распаковки можно использовать UN PACK 2.1 (взять можно на Protools в разделе "Unpackers/decrypters/unprotectors") - все модули упакованы AsPackом разных версий и процесс их распаковки ничего нового с точки зрения передовой советской науки из себя не представляет.

Однако - для того чтобы при дальнейшем анализе в самой же IDA Pro можно было корректно загрузить сигнатуры библиотечных функций, необходимо корректно установить атрибуты секций, содержащие исполнимый код (после распаковки они имеют атрибуты IMAGE_SCN_INITIALIZED_DATA (0x00000040 в соответствии с файлом winnt.h), а необходимо иметь атрибуты IMAGE_SCN_CNT_CODE (0x00000020). Для измененеия атрибутов секций можно воспользоваться любым редактором PE файлов, от себя лично могу порекомендовать PEditor (взять можно все на том же Protools в разделе Utilities -> Exe modifiers). Для анализа нам необходимо распаковать оболочку пользовательского интерфейса idaw.exe (консольный вариант) и собственно сам движок, реализованный под Win32 в виде отдельного модуля ida.wll.



Содержание раздела