Modo compacto | Modo extendido

Buscar · 19-10-2010 10:33 AM

Siguiendo la rutina otro packer tambien sencillo, pero de todo se aprende...

Primero ejecutamos el RDG Packer Detector y verificamos con que esta packeado...
[Imagen: 45166230.png]

Abrimos con el OllyDBG y observamos su EP...
[Imagen: 70231364.png]

Lo que haremos sera ejecutar hasta el ret mas cercano esto en el menu debug - "Execute till return"
[Imagen: 97230350.png]

Caemos en el y lo pasaremos con F8...
[Imagen: 42415827.png]

Y vaya sorpresa la primera instruccion un pushad y un aspecto muy parecido al Aspack...
[Imagen: 82004480.png]

En esta ocasion lo que haremos sera buscar por una cadena hexadecimal el posible salto al OEP ya sabiendo que su estructura es similar o igual al Aspack...
[Imagen: 81120980.png]

Escribimos la cadena 68 00 00 00 00 C3 que corresponde a las instrucciones
PUSH 0
RET
[Imagen: 81504144.png]

Y nos la encontramos y observamos que mas arriba esta el POPAD asi la misma forma del Aspack por eso nos comprueba que si es el camino al OEP...
[Imagen: 39455784.png]

Pondremos un BreakPoint en la instruccion RET y con F9 o run corremos para que pare ahi y nos lleve al OEP...
[Imagen: 27531894.png]

Paramos en el OEP y dumpearemos...
[Imagen: s10v.png]

Dumpeamos con la opcion de Rebuild Import desmarcada ya que es mejor y mas confiable con el IREC...
[Imagen: s11x.png]

Abrimos el IREC y seleccionamos el proceso, pondremos el verdadero OEP sin image base ==> 0x271B0, click en IAT AutoSearch, Click en Get Import y vemos que todas estan funcionando y Click en Fix Dump... y seleccionamos el dumpeado...
[Imagen: s12c.png]

Comprobamos con el RDG que esta sin packer y el lenguaje de programacion...
[Imagen: s13q.png]

Verificamos que el ejecutable haya quedado funcional y bien...
[Imagen: s14v.png]

Feliz Cracking
Saludos
CronuX