home *** CD-ROM | disk | FTP | other *** search

---

/ The Elite Hackers Toolkit / TheEliteHackersToolkitVolume1_1998.rar / HACKERS.BIN / appcraks / UCFPD1A9.ZIP / PROCDUMP.TXT

< prev

next >

Wrap

Text File  |  1990-01-01  |  7KB  |  200 lines

---

1. ──────────────────────────────────────────────────────────────────────────────
2.  ██████╗  ██████╗   ██████╗   ██████╗ ██████╗  ██╗   ██╗ ███╗   ███╗ ██████╗
3.  ██╔══██╗ ██╔══██╗ ██╔═══██╗ ██╔════╝ ██╔══██╗ ██║   ██║ ████╗ ████║ ██╔══██╗
4.  ██████╔╝ ██████╔╝ ██║   ██║ ██║      ██║  ██║ ██║   ██║ ██╔████╔██║ ██████╔╝
5.  ██╔═══╝  ██╔══██╗ ██║   ██║ ██║      ██║  ██║ ██║   ██║ ██║╚██╔╝██║ ██╔═══╝
6.  ██║      ██║  ██║ ╚██████╔╝ ╚██████╗ ██████╔╝ ╚██████╔╝ ██║ ╚═╝ ██║ ██║
7.  ╚═╝      ╚═╝  ╚═╝  ╚═════╝   ╚═════╝ ╚═════╝   ╚═════╝  ╚═╝     ╚═╝ ╚═╝
8. ──────────────────────────────────────────────────────────────────────────────
9.        ProcDump version 1.0 alpha 9 (C) G-RoM & Stone in 1998
10. ──────────────────────────────────────────────────────────────────────────────
11.  
12. Purpose :
13. ─────────
14.  
15.   ProcDump  is  brand  new  type  of  tool  that  allows u  to Dump, Unpack
16.  some Protected PE files without any need of debugger.
17.  
18.  What ProcDump can do :
19.  
20.  ■ Dump any 32 bits running process.
21.  ■ Dump any 32 bits module.
22.  ■ Restore the Import table (98% of fiability in one pass/99% after reload).
23.  ■ Restore the PE header.
24.  ■ Load an external dump & restore the previous features.
25.  ■ Start & Unpack a given PE file (at least we try !!).
26.  
27. Disclaimer :
28. ────────────
29.  
30.   We, the authors, are *NOT* responsible for any damage caused by the use of
31.  ProcDump. It  was  tested  with success under Windows 95,98 and NT 5.0.
32.  
33. Requirements :
34. ──────────────
35.  
36.  This program works fine under :
37.  
38.  ■ Windows 95
39.  ■ Windows 98
40.  ■ Windows NT 5.0
41.  
42.  BUT WILL NEVER WORK UNDER NT <5.0 ! I may work on a NT update... one day ;)
43.  
44.   May be some  little knowledge about PE format if u expect to use this tool
45.  for some  special code. Sometimes, you *may* need to do  some fixups by the
46.  hand.  I said *sometimes* ;).
47.  
48. Limitations :
49. ──────────────
50.  
51.  * What ProcDump can't do (yet ?):
52.  
53.  ■ Restore a working DAtA section in Dump mode.
54.  ■ Restore REAL eip in dump mode.
55.  ■ Restore Packed Relocs (several converters have to be coded).
56.  ■ Unpack a DLL (it's possible but... I need time ;)).
57.  ■ Dump a 16 bit process (DOS or WIN 16 bit applications => Size 0 in array).
58.    -> for DOS apps, use Softice, cup386 or GTR.
59.    -> win16 apps.... who cares of those ? ;)
60.  
61.  * Imports special case :
62.  
63.    Some dumps will have still some mangled function name in import section :
64.  You can fix this  problem by reloading dump with LOAD EXTERNAL function. It
65.  will apply  an  exhaustiv  fixup  that will  may  be destroy some import by
66.  name & replace them by ordinals instead. This code is  still in development
67.  and I will implement a function name guesser may be soon.
68.  
69. How to Dump a process :
70. ───────────────────────
71.  
72.  That's kinda easy :
73.  
74.  1) Just select it in the array
75.  2) Click right
76.  3) Select dump process.
77.  4) Select the name of the dump.
78.  
79.  And it is done ;)
80.  
81. How to Dump a module attached to a process :
82. ────────────────────────────────────────────
83.  
84.  As much easy as dumping a process ;) :
85.  
86.  1) Select the process
87.  2) Click Right
88.  3) Click on Module List
89.  4) Select the module
90.  5) Click Right
91.  6) Click on dump.
92.  7) Select the name of the dump.
93.  
94.  And it is done ;)
95.  
96. How to unpack a PE file :
97. ─────────────────────────
98.  
99.  a) Trace mode.
100.  
101.  1) Launch the target EXE
102.  2) Do a memory dump (select from array et click-right).
103.  2) Trace the target (Trace button).
104.  3) wait until EIP is catched.
105.  4) select a name for the unpacked PE file.
106.  5) Select the memory dump file u did in step 1).
107.  6) File is unpacked .... u should try & pray ;)
108.  
109.   I apologize  on  the way  it  works....  BUT  Windows is unfair on certain
110.  particular point and there is NO WAY to automate the step 1) through 2). If
111.  I do it at your  place the import section  is fucked up and  I dunno HOW to
112.  fix this. Target Process must not be  a child of the dumper/unpacker when u  dump
113.  it.
114.  
115.         ┌───────────────────────────────────────────────────┐
116.         │TRACING A CODE IS KINDA SLOW SOMETIMES - BE PATIENT│
117.         │                                                   │
118.         │BTW : if 'traced xxxxxx lines' is frozen => Crash  │
119.         └───────────────────────────────────────────────────┘
120.  
121.  b) Fast Unpacking mode.
122.  
123.  1) Launch target EXE.
124.  2) Do a memory dump.
125.  3) Click on Fast unpacking button.
126.  4) Choose the appropriate packer/protector.
127.  5) select a name for the unpacked PE file.
128.  6) Select the memory dump file u did in step 1).
129.  7) File is unpacked .... u should try & pray ;)
130.  
131.   I apologize  on  the way  it  works....  BUT  Windows is unfair on certain
132.  particular point and there is NO WAY to automate the step 1) through 2). If
133.  I do it at your  place the import section  is fucked up and  I dunno HOW to
134.  fix this. Target Process must not be  a child of the dumper/unpacker when u  dump
135.  it.
136.  
137. Warning :
138. ─────────
139.  
140.  I do not recommend that u dump :
141.  
142.  ■ ProcDump process itself  (import trashed anyway).
143.  ■ Kernel32.dll process     (Access Violation, System Kill).
144.  ■ And other system process (Access Violation).
145.  
146.  It may result in some obvious crash... U were warned.
147.  
148. Credits :
149. ─────────
150.  
151.  Project Coordinator : G-RoM
152.  
153.  Tracer engine       : Stone
154.  Memory Dumper         : G-RoM
155.  PE rebuilder         : G-RoM
156.  
157.  Interface design    : G-RoM
158.  Artworks            : ZeCreator
159.  This lame dox       : G-RoM
160.  
161.  To Contact me       : G-RoM@innocent.com
162.           Stone    : stone@one.se
163.  
164. Greetings (quick):
165. ──────────────────
166.  
167.  Random : I really hated ur Import table destroyer... but I finaly fixed the
168.       little thing I forgot in import rebuilder. Pecrypt really rules !!
169.           The most secure, the best packer, etc... Hopefully, it is not used
170.       (yet??) by too much persons ;). Final release of version 1.02 will
171.       kick ass !!! ;) As  an example  I trust in it, ProcDump  is packed
172.       with it ;).
173.  
174.  Acpizer: Continue ur work with the Win console and, start to work on Ring 0
175.       hardware breakpoint ;). It will kick ass when it will be done. Are
176.       you interresting in coding the interface in ASM ?  Or even better,
177.       a visual ASM programming environment ? Check Random Greeting about
178.       ur common work.
179.  
180.  Marquis: Thanks for ur interrest in my lame work. The shrinker unpacker was
181.       possible as I used to say ;).
182.  
183.  Jammer : U were the precursor... Join our team ;) hehehe. I still need more
184.       informations about PDB  under windows... Wait for news from you at
185.       this subject.
186.  
187.  J0B    : Thanx for the informations about shrinker. BTW: Shrinker 3.2 can't
188.       be handled with Software breakpoints neither traced due to faults,
189.       check version.txt file for details. So your work on it was fucking
190.       essential ;).
191.  
192.  Hendrix: Code me a fully featured tracer for WIN32.... When u have time ;).
193.       Good luck with GTR95.
194.  
195.  Iceman : How is ur TUI ? Keyboard Layout is weird ? :)
196.  
197.  hiho to: #cracking, #bs2000, #PC98-Chat, #ucf2000,
198.         Groups I am in, Groups I was in,
199.       guys & girls I may know somewhere in the world ;).
200.