Modo compacto | Modo extendido

Buscar · 21-10-2010 05:46 AM

Hola vamos por otro estudio de otro packer sencillo... saludos

Abrimos y analizamos con el RDG Packer Detector y verificamos un Poly Crypt...
[Imagen: 33733228.png]

Abrimos con el OllyDBG y observamos su EP y no vemos nada que nos pueda ayudar...
[Imagen: 57319886.png]

Vamos a utilizar la API "GetVersion" para encontrar el OEP y colocamos un BreakPoint en esta...
[Imagen: 75525496.png]

Le damos F9 o run y paramos en esta zona, en mi caso es la segunda vez ya que la primera nos devuelve en una direccion de memoria que no nos sirve...
[Imagen: 36182308.png]

Traceamos hasta el RET o con la opcion de Execute Till Return y lo pasamos con F8...
[Imagen: 65078247.png]

Caemos una instruccion despues de la llamada a la API pero con el scroll un poco hacia arriba observamos que estamos en el OEP...
[Imagen: 67766511.png]

Ponemos nuevo origen en el OEP...
[Imagen: 17636802.png]

Dumpeamos el ejecutable con la opcion de Rebuild Import desactivada...
[Imagen: 94910296.png]

Bueno abrimos el IREC y seleccionamos el proceso, ponemos el OEP sin la image base ==> 271B0
Click en IAT AutoSearch - Click en Get Import - Click en Fix Dump y arreglamos el dumpeado anterior...
[Imagen: 86617224.png]

Volvemos a verificar si el archivo final quedo totalmente unpackeado con el RDG y observamo que si y esta hecho en Visual C++...
[Imagen: j10.png]

Y por ultimo cambiamos algunas string y comprobamos que el ejecutable quedo totalmente funcional...
[Imagen: j11x.png]

Feliz Cracking
Saludos
CronuX