Modo compacto | Modo extendido

Buscar · 19-10-2010 10:31 AM

Otro packer bastante sencillo, saludos...

Primero abrimos con el RDG Packer Detector para mirar con que esta empacado...
[Imagen: 13313111.png]

Abrimos con el OllyDBG y observamos la estructura de su EP y vemos un PUSHAD, podemos usar este metodo pero para cambiar la monotomia miraremos otra forma...
[Imagen: 14879146.png]

Buscaremos por comando, click derecho Search for all, commands...
[Imagen: 52843104.png]

En la ventana colocamos el comando en este caso "POPAD"...
[Imagen: 72993851.png]

Caemos en el primer comando y justo debajo de el la instruccion JMP EAX, asi que encontramos el salto al OEP...
[Imagen: 92442456.png]

Pondremos un BreakPoint y al darle run o F9 paramos en este y observamos como nos llevara a 0x4271B0 nuestro conocido OEP...
[Imagen: 39898172.png]

Paramos en el OEP y dumpearemos el ejecutable...
[Imagen: 68568485.png]

Dumpeamos con la opcion de Rebuild Import desmarcada...
[Imagen: 86965418.png]

Abrimos el IREC y seleccionamos el proceso, despues pondremos el verdadero OEP sin image base ==> 0x271B0, Click en IAT AutoSearch, Click en Get Import y click en Fix Dump y seleccionamos el dumpeado que hicimos anteriormente...
[Imagen: 68692982.png]

Verificamos con el RDG si ya esta unpackeado y nos muestra el lenguaje en el que fue programado...
[Imagen: d10e.png]

Por ultimo revisamos si el ejecutable quedo funcional y correcto...
[Imagen: d11m.png]

Feliz Cracking
Saludos
CronuX