소프트웨어 MPRESS 압축풀기-3
2021.09.29 15:43
스크립트 출처: https://github.com/x64dbg/Scripts
참고;
https://t0rchwo0d.github.io/windows/Windows-x64dbg-Script/
https://reverseengineering.stackexchange.com/questions/27941/how-to-run-a-script-in-x64dbg
https://help.x64dbg.com/en/latest/commands/script/
x64dbg 디버거의 스크립트를 이용해서 MPRESS 압축 풀기입니다.
잘 되면 OEP 찾는다고 생고생을 할 필요도 없이 단 방에 OEP 를 찾아 줍니다.
그 다음에는 덤프만 뜨면 끝입니다.
Mpress Script 는 줄리아님이 소개를 해서 테스트를 해보니까 잘 되어서 글을 쓰게 된 것입니다.
이 자리를 빌려서 도움을 주신 줄리아님께 감사드립니다.
테스트 파일1(원본): MPress2.19x32x64(Unpacking).7z
테스트 파일2(원본): PECMD.7z -> 추가 했습니다.
x64dbg_Mpress Script: Mpress X.XX OEP FINDER.7z -> 32 / 64 비트 공용
1. x32dbg 및 x64dbg 공통
여기서 사전에 등록을 해두면 스크립트 탭을 클릭하고 바로 가져옵니다.
그런데 사전 등록을 안해도 가져오는 방법이 아주 쉬우므로 굳이 할 필요는 없습니다.
///////////////////////////////////////////////////////////////////////////////////////////
2. MPRESS 로 압축된 32 비트 파일 스크립트로 압축 풀기
2-1. 32 비트 파일을 처음 로드한 모습입니다.
2-2. 위에서 F9 키를 이용해서 엔트리 포인트(EntryPoint) 까지 진입했습니다.
2-3. 우측 스크립트 탭을 클릭합니다. 처음 열면 아무 것도 없습니다.
2-4. 빈 칸 아무 곳에나 마우스를 대고 우클릭합니다.
[스크립트 로드 - 열기(O)] 를 해서 원하는 스크립트를 가져옵니다.
2-5. Mpress X.XX OEP FINDER.txt 를 로드한 모습입니다.
여기서 [스페이스] 키를 한 번 클릭하면 자동으로 모든 명령어가 실행됩니다.
2-6. [스크립트 완료!] 메시지가 나오면 [OK] 를 클릭합니다.
이 것으로 OEP 까지 자동으로 진입된 것입니다.
2-7. CPU 탭을 클릭하면 push 우측에 [OEP Found ;)] 멘트가 보이면 정상적으로 OEP 에 진입한 것입니다.
주의: 여기서 더 이상 키를 사용하시면 안됩니다.
여기 2-7 은 통과하고 2-8 로 진행해도 무관합니다. 단지 OEP 진입이 정상인가 아닌가 확인만 하는 것뿐입니다.
2-8. 상단 메뉴에 있는 Scylla 버튼을 사용해서 덤프하시면 됩니다.
덤프 순서는 (1)-(2)-(3)-(4) 순으로 하시면 됩니다.
자세한 덤프 방법은 아래의 [MPRESS 압축풀기-2] 를 참고하세요.
///////////////////////////////////////////////////////////////////////////////////////////
3. MPRESS 로 압축된 64 비트 파일 스크립트로 압축 풀기
3-1. 64 비트 파일을 처음 로드한 모습입니다.
3-2. 위에서 F9 키를 이용해서 엔트리 포인트(EntryPoint) 까지 진입했습니다.
3-3. 우측 스크립트 탭을 클릭합니다. 처음 열면 아무 것도 없습니다.
3-4. 빈 칸 아무 곳에나 마우스를 대고 우클릭합니다.
[스크립트 로드 - 열기(O)] 를 해서 원하는 스크립트를 가져옵니다.
3-5. Mpress X.XX OEP FINDER.txt 를 로드한 모습입니다.
여기서 [스페이스] 키를 한 번 클릭하면 자동으로 모든 명령어가 실행됩니다.
3-6. [스크립트 완료!] 메시지가 나오면 [OK] 를 클릭합니다.
이 것으로 OEP 까지 자동으로 진입된 것입니다.
3-7. CPU 탭을 클릭하면 sub 우측에 [OEP Found ;)] 멘트가 보이면 정상적으로 OEP 에 진입한 것입니다.
주의: 여기서 더 이상 키를 사용하시면 안됩니다.
여기 3-7 은 통과하고 3-8 로 진행해도 무관합니다. 단지 OEP 진입이 정상인가 아닌가 확인만 하는 것뿐입니다.
3-8. 상단 메뉴에 있는 Scylla 버튼을 사용해서 덤프하시면 됩니다.
덤프 순서는 (1)-(2)-(3)-(4) 순으로 하시면 됩니다.
자세한 덤프 방법은 아래의 [MPRESS 압축풀기-2] 를 참고하세요.
END ///////////////////////////////////////////////////////////////////////////////////////////
댓글 [5]
번호 | 제목 | 글쓴이 | 조회 | 추천 | 등록일 |
---|---|---|---|---|---|
[공지] | 강좌 작성간 참고해주세요 | gooddew | - | - | - |
4006 | 윈 도 우| Windows 11 우회 설치 - boot.wim 수정하기 [26] | suk | 4973 | 37 | 10-08 |
4005 | 윈 도 우| 아래글... UPX 버그패치 [18] | kernel | 2065 | 7 | 10-07 |
4004 | 소프트웨어| UPX 압축풀기 [5] | sunshine | 1898 | 9 | 10-07 |
4003 | 모 바 일| 아이폰 컴퓨터(윈도우10) 연결 문제 (아이튠즈 아이폰 인식... [2] | Day | 1054 | 0 | 10-06 |
4002 | 소프트웨어| WimBootBR 일회성 윔부트, C드라이브 백업/복원 cmd [37] | 지후빠 | 3488 | 26 | 10-03 |
4001 | 윈 도 우| 숨겨진 Windows 11 관리자 계정을 활성화하는 방법 [3] | VₑₙᵤₛG | 3001 | 6 | 10-02 |
4000 | 윈 도 우| Windows 11에서 포커스 세션을 사용하는 방법 | VₑₙᵤₛG | 993 | 1 | 10-01 |
3999 | 소프트웨어| Ventoy 정리 #2 [2021.09.28] 추가 [11] | 메인보드 | 4601 | 20 | 09-29 |
3998 | 윈 도 우| [노트북] Intel 11세대 프로세서(Intel Tiger Lake) 문제 ... [1] | sugar | 1435 | 3 | 09-29 |
» | 소프트웨어| MPRESS 압축풀기-3 [5] | sunshine | 1064 | 6 | 09-29 |
3996 | 소프트웨어| MPRESS 압축풀기-2 [11] | sunshine | 1431 | 4 | 09-28 |
3995 | 소프트웨어| MPRESS 압축풀기-1 [12] | sunshine | 2903 | 14 | 09-26 |
3994 | 윈 도 우| 불필요한 파일/폴더 지우기 deltree useless .bat [35] | 지후빠 | 4672 | 22 | 09-21 |
3993 | 서버 / IT| TrueNAS 로 삼바 서버 구축하기 [14] | gooddew | 2626 | 5 | 09-20 |
3992 | 소프트웨어| 토탈커맨더 도구바 버튼 매개변수 없이 실행 AHK [23] | 지후빠 | 1284 | 9 | 09-19 |
3991 | 윈 도 우| 랜카드 온/오프 배치파일 Net-On-Off-Switch [9] | 지후빠 | 1953 | 17 | 09-16 |
3990 | 윈 도 우| Windows 11은 1년에 1번 하반기에 출시됩니다 [1] | suk | 5590 | 11 | 09-09 |
3989 | 윈 도 우| Windows 11을 설치하기 위해 VMware에서 TPM 및 보안 부팅... [5] | VₑₙᵤₛG | 2966 | 14 | 09-08 |
3988 | 소프트웨어| 크롬확장 검색 오류 해결 [3] |
|
1321 | 5 | 09-04 |
3987 | 소프트웨어| 네트워크 PC의 원격 Everything (DB) 검색 BAT,AHK [2] | 지후빠 | 1732 | 6 | 09-02 |
감사합니다.