Bienvenido a Tecnohackers

Tecnohackers » Hacking y Seguridad » Hacking » Ingenieria Inversa
 » 

Tutorial Desempacando DalKrypt 1.0



Autor Tema: Tutorial Desempacando DalKrypt 1.0  (Leído 2262 veces)

Desconectado CronuX

  • Veterano
  • ***
  • Mensajes: 302
  • OllyDBG
Tutorial Desempacando DalKrypt 1.0
« en: Octubre 18, 2010, 05:29:53 pm »
Hola ahora volviendo a revisar algunos packer, son sencillos pero de ellos se aprende algo, esta vez un sencillisimo packer que a simple vista deja ver el salto al OEP y no destruye la tabla de importaciones ni nada por el estilo...

Primero ejecutamos el RDG Packer Detector y observamos que esta empacado con el DalKrypt...


Lo abrimos con el OllyDBG y observamos a grandes rasgos su estructura, su EP y al final de este nos muestra un salto a EDI...


Tan sospechoso este salto que le ponemos un breakpoint y le damos run o F9 y al caer ahi observamos que el registro EDI vale 0x4271B0 ==> OEP


Lo pasamos con F8 y caemos justamente en el OEP...


Dumpeamos el ejecutable y desmarcamos la casilla de Rebuild Import ya que lo haremos con el IREC...


Abrimos el IREC y seleccionamos el proceso y colocamos en el OEP sin la ImageBase es decir 0x4271B0 - 0x400000 = 0x271B0 y click en boton IAT AutoSearch


Le damos click en el boton Get Import, Despues de ver que no hay API invalidas y esta todo correcto le damos click al boton Fix Dump y seleccionamos el dumpeado que hicimos anteriormente...


Revisamos de nuevo con el RDG para observar que ya nos muestra el compilador y que no esta empacado...


Y ejecutamos para verificar que quedo funcional el ejecutable, y modificamos las string para comprobar...


Feliz Cracking
Saludos
CronuX



Tags:
Tags:

 


SMF 2.0.19 | SMF © 2016, Simple Machines
Paginas Afiliadas
Twitter - FaceBook - Daraxblog
Designed by Smf Personal