Log.i53

Themidaのアンパックを目指すブログ改め使い物になるえんじにゃを目指すブログ

ODbgScript

マニュアルアンパック:PECompact

導入 PECompactは速度とパフォーマンスに焦点を当てて設計された商用パッカーです。無償の学生版はマルウェア作者によって使用されることが多かったため廃止され、使用用途や組織名による登録が必要な試用版に置き換えられています。このパッカーでパックさ…

マニュアルアンパック:ASPack

導入 ASPackはUPXよりかは幾分セキュリティに焦点を当てており、プログラムのアンパックを難しくするためのいくつかのテクニックを採用しています。ASPackは自己置き換えコード(self-modifiing code)と呼ばれるブレークポイントの設置や一般的な分析を難しく…

ODbgScript TIPS

リファレンスだけ見ても必要な情報にたどり着くのに時間を要したのでどういう場面でどのコマンドを使うべきなのか用例を纏めておくことにしました。随時更新予定です。 各種コマンドの詳細についてはリファレンス翻訳の方を参考にしてください。OllyScript …

ODbgScriptを利用したUPXのOEP探索

ODbgScriptを利用してUPXでパックされた実行ファイルのOEP探索を自動化してみましょう。前回説明したように、UPXではPUSHAD命令とPOPAD命令(全てのレジスタの退避と復帰)の対称性に着目したESPトリックという手法を用いることでOEPにジャンプする命令の直前…

OllyScript リファレンス

OllyScript OllyScriptはOllyDbgの操作を自動化するためのアセンブリライクな言語で記述できるスクリプト言語です。OllyDbgにおけるデバッグ操作を自動化するための各種コマンドが用意されています。(注:プラグイン名がODbgScriptでスクリプト言語名がOllySc…

ODbgScriptの使い方

ODbgScript ODbgScriptはユーザモードデバッガの(私的)最高傑作であるOllyDbgのプラグインで、以下のリンクからプラグイン本体とそのソースコード、ドキュメントおよびサンプルスクリプトをダウンロードすることができます。ODBGScriptsourceforge.net OllyD…