AutoPlay Media Studio dosyaları için statik açıcı

 tl; dr version - bir şeyleri kaldırır. Buradan indirin . Sülük ve yeniden yükleme özgürlüğüne düştü. Hataları buradan bildirin.

Giriş

Her şey, BlackStorm forumlarında, kimlerin Reverzor'a bir bağlantı gönderdiği bir konuyla başladı - her şeyi çözen ilk bulut tabanlı yazılım! .

Vay canına, her şeyi yapan sihirli bir araç! Gerçek olamayacak kadar iyi geliyor ..gülümsemek Çok geçmeden, li0n çalıştırılabilir deneme sürümüne bir bağlantı gönderdi ve ben de araştırmaya başladım. AutoPlay Media Studio'da yazıldığını ve bunun için çalışan bir paket açıcı olmadığını çabucak anladım.

Bunu düzeltmeli ve süreçte biraz eğlenmeliyim!

Mevcut araçlar ve araştırma

İlk olarak, Xiaopang'ın harika bir blog yazısını buldum - tüm kalbimle okumanızı tavsiye ederim.

Ve sonra mohsen tarafından bir AmsDec.exe var . Ne yazık ki, sadece bazı dosyalar için çalışıyor (sözde - v8.1, v8.2) ve Farsça tuhaf mesajlar gösteriyor. Ve bu sadece ayıklar, gerçekten bir decompiler değil _proj.dat dosyayı CDD dosyası. Ve tabii ki Reverzor için işe yaramadı.

AutoPlay Media Studio nasıl çalışır?

Öyleyse, hepsini düzgün bir şekilde açmak için ne yapmamız gerektiğini görelim. AutoPlay Media Studio'nun yazarlarının değişiklik günlüğünde yazdığı gibi :

Hepimizin bildiği gibi, yeterince kararlı olan herhangi biri, yeterli zaman ve kaynak verildiğinde herhangi bir koruma sistemini kırabilir, ancak dönen kodların kullanımı genel saldırıları etkisiz hale getirir. Artık biraz daha rahat uyuyabilirsiniz!

Doğru ... Rastgele oluşturulmuş şifrelerle korunan ZIP dosyaları kullanıyorlar ve belli ki genel saldırıların nasıl çalıştığına dair hiçbir fikirleri yok ..

Unpacker'ın EXE dosyasını analiz etmesi, doğru şifre oluşturması ve dosyaları açması gerekir. Bir cdd dosyası varsa, onu da açın. Ve bu kadar basit olduğu için, AutoPlay Media Studio'yu sıfırdan statik bir paket açıcının nasıl yazılacağını açıklayan ayrı bir blog yazısı için hedef olarak kullanacağım.gülümsemek

AutoPlay Media Studio tarafından oluşturulan dosyaları nasıl dağıtabileceğiniz birkaç seçenek olduğundan, işte hızlı bir başvuru:

1. tek bir application.exe dosyanız var ;

Bu tür dosyalar, AutoPlay Media Studio'daki "Yayınla -> Web / E-posta yürütülebilir" özelliği kullanılarak oluşturulabilir. Örnek dosya CardRecovery v
6.10 Build 1210 AIO Installer -nelly-.exe olacaktır

Exe dosyasını unpacker'a bırakın, her şeyi otomatik olarak açacaktır. Ardından, ayıklanan veri dosyaları için uygun klasörü ve yükleme komut dosyası için _proj.dat dosyasını kontrol edin.

2. AutoPlay alt klasöründe application.exe ve application.cdd içeren bir klasörünüz var ;

Bu dosyalar, AutoPlay Media Studio'da "Yayınla -> Sabit sürücü klasörü" kullanılarak oluşturulur. Örnek bir dosya, örneğin, Photoshop yükleyicisi olduğunu iddia eden Rus yazılımı (kötü amaçlı yazılım?) Olabilir .

Veri dosyaları AutoPlay klasöründe ve alt klasörlerde açık olduğundan, paketten çıkarılacak çok şey yoktur. Exe dosyasını unpacker'a bırakın, cdd dosyasını otomatik olarak bulacak ve _proj.dat dahil her şeyi açacaktır .

3. aynı klasörde application.exe ve application.cdd dosyalarınız var ;

Bu, AutoPlay Media Studio'da "Kaynak dosyalarını yeniden adlandır" özelliği etkinleştirildiğinde gerçekleşir. Ürüne sahte güvenlik ekleyen özelliklerden biridir:

Bu seçenek, yayınlama sırasında kaynak dosyalarınızın dosya adlarını gizlemek için tasarlanmıştır.

Bu bir Kullanıcılar Sniffer vakasıdır . Önceki duruma benzer şekilde, paketten çıkarılacak pek bir şey yok. Exe dosyasını unpacker'a bırakın, cdd dosyasını otomatik olarak bulacak ve _proj.dat dahil her şeyi açacaktır .

Gelişmiş kullanım durumları

Ancak bazen işler o kadar kolay değildir. Dolayısıyla, değiştirilmiş AutoPlay Studio ile nasıl başa çıkılacağıyla ilgili birkaç olası senaryo:

1. application.exe paketlenmiş ve application.cdd dosyası mevcut.

Bu Xiaopang'ın blogda bahsettiği resmi bir AMS stüdyo mücadelesi vakası. İyi haber - korumalarını kırmak için bir paket açma sihirbazı olmanıza ve PCGuard'ı düzgün bir şekilde açmanıza gerek yok. EXE'i VMWare'de çalıştırmak, işlem belleğini boşaltmak ve dumped exe'yi aracıma bırakmak yeterli. PE başlığı ve bölüm tablosu doğru olduğu sürece iyi olmalıdır.

Adım adım:
1) Çalıştır ve dök: 2) Dökümü kaydederken, orijinal dosya adını koru. Aksi takdirde paket açıcım cdd dosyasını bulamayacaktır : 3) Paket açıcı ile işlem dökümü:






2. application.exe paketlendi ve cdd dosyası yok .

Bu Reverzor'un durumudur . Öncelikle Enigma Sanal Kutusunu açmanız gerekir - bunun için diğer paket açıcımı kullanabilirsiniz ..göz kırpmak Şimdi ikisine de sahip exe ve CDD dosyalarını ama exe dosyası hala ASPack ile doludur. Yine, ASPack'i düzgün bir şekilde açmanıza gerek yok, sadece işlem belleğini çalıştırın ve boşaltın. Sonra işlem benim açıcımla exe döküldü.

3. application.exe saldırıya uğradı ve cdd dosyası başka bir adla yeniden adlandırıldı;

Bu bir Avara vakası . Yazar, Otomatik Kullan motorunu hackledi ve cdd dosya uzantısını dll ile değiştirdi . Paket açıcımın bu tür senaryoları otomatik olarak kapsamasının bir yolu yok, üzgünüm. Sadece adlandırmak idler.dll için idler.cdd ve bırak idler.exe unpacker üzerinde.

Sonuç

Bu benim için küçük bir hafta sonu projesiydi. Bazı maceralarda da size yardımcı oluyorsa, mutluyum. Sana hiç yardımcı olmazsa, umurumda değil.gülümsemek

Paket açıcıyı şu adresten indirin: https://www.mediafire.com/?cyb4kagdwey0j1b

Not - .NET 3.5'e karşı derlenen teknik nedenlerden dolayı, yalnızca .NET 4.0 yüklü bir bilgisayarda çalıştırmak istiyorsanız , aşağıdaki satırlarla amsunpacker.exe.config oluşturun :


<?xml version="1.0"?>
<configuration>
 <startup>
  <supportedRuntime version="v4.0"/>
 </startup>
</configuration>


Ve sıfırdan böyle bir paket açıcının nasıl yazılacağını açıklayacağım yaklaşan gönderi için bizi izlemeye devam edin!