Penulis Topik: Simple Anti-Unpack UPX untuk PE File  (Dibaca 182 kali)

Offline descrates

  • Moderator
  • Pro500
  • *****
  • Tulisan: 764
  • Reputation: +5079/-0
    • Lihat Profil
Simple Anti-Unpack UPX untuk PE File
« pada: November 27, 2019, 06:45:04 AM »
jadi gini, sebenarnya tidak cuma UPX saja
tapi selama ini UPX yang paling gampang
buat implementasi

software: UPX, UPX Scrambler, strip
          XOR .text encryptor, lordpe
          MS-Header Eraser

1. misalkan kita punya keygen
2. keygen kita XOR .text encryptor
   simpel & efektif dari jaman dulu
   (cari di github)
3. keygen kita strip -s
   (bawaan mingw)
   kita hapus name section pakai lordpe
   minimize header jika perlu
   yang penting bisa UPX-ed
4. keygen kita UPX --lzma
5. keygen kita UPX Scrambler
   (upolyx, etc cari di gugel)
6. keygen kita MS-Header Eraser
   biar tidak bisa dibuka ollydbg, etc
   (lordpe, headereraser.asm)

orang yang penasaran pasti akan
melakukan hal sbb:

1. coba melakukan unpacking = gagal
2. karena gagal maka akan dumping
   tapi ketika tidak bisa "100%"
   maka akan dump reconstruct
   dengan IDA yang sedikit orang bisa
   dan suka
TASKKILL /F /IM SMΔRTP.exe /T

Win7 32bit [kernel patch] --- 2x2,8GHz Intel --- 8GB RAM DDR3 --- 512MB 9600M GT NVidia --- Iron 15 beta --- Opera Mini Proxies

other OS: Lucid Puppy, XP SP2 [custom], XP SP3, Win7 64bit, Tails

Offline descrates

  • Moderator
  • Pro500
  • *****
  • Tulisan: 764
  • Reputation: +5079/-0
    • Lihat Profil
Re:Simple Anti-Unpack UPX untuk PE File
« Jawab #1 pada: Desember 14, 2019, 11:19:17 AM »
penjelasannya

1. XOR .text encryptor

    secara spesifik fungsinya ada 3

    - hidden code (tidak 100%)
    - hardening buat delphi
    - anti generic unpack

2. strip buat mengurangi yang tidak perlu

3. upx --lzma biar susah diunpack
    disabled buat exe ukuran kecil
    (bisa diaktifkan lewat modif source code)

4. upx scrambler

   btw kalau kita memakai scrambler instan
   sisi buruknya gampang dikenali
   tapi ada cara biar agak aman

 1. checksum error

     kalau ini error maka akan skip
     caranya kita test buat pack, kita hex view
     akan tampak string yang tidak ter-packing
     misalnya string ExitProcess
     strateginya kita rename dulu
     ExitProcess >>> EXitProcess
     kita upx, terus edit pake hexeditor
     EXitProcess >>> ExitProcess


 2, version obsolete, ini juga lumayan

     cara ini sedikit kuno, untuk UPX 1.2x
     caranya kita clone app
     1. kita upx v0.84
     2. kita upx v1.25
     terus kita copy paste headernya
     bagian string 1.25 UPX! bla-bla-bla
     kita replace dengan punya 0.84

5. MS-Header Eraser
    ini buat antidump
    ada yang melalui inject
    ada yang dari source code
    gw lebih suka yang inject
    tapi jeleknya langsung kena AV
    maka dari itu yang lewat source saja
   
   
   
TASKKILL /F /IM SMΔRTP.exe /T

Win7 32bit [kernel patch] --- 2x2,8GHz Intel --- 8GB RAM DDR3 --- 512MB 9600M GT NVidia --- Iron 15 beta --- Opera Mini Proxies

other OS: Lucid Puppy, XP SP2 [custom], XP SP3, Win7 64bit, Tails