Tutorial Desempacando Crunch 5.0

Otro packer bastante sencillo, y seguimos aprendiendo formas de llegar al OEP y seguimos mirando posibilidades que se nos presentan para llegar a este...

Abrimos el RDG Packer Detector y al parecer esta un poco desactualizada la signature pero igual nos da el nombre del Packer...


Abrimos con el OllyDBG y observamos su EP y a grandes rasgos su rutina...


Traceamos hasta llegar a esta call...


Vamos a los registros y en el registro ESP le damos click derecho, follow in dump...


En el dump ponemos un breakpoint, hardware...


Nos aparece una nueva ventana y seleccionamos "Access - Dword" y click en Ok


Le damos a run o F9 y caemos en esta zona...


Analizamos el codigo para ver las verdaderas instrucciones...


Empezamos a tracear y cuando le damos en F8 en la primera call que encontramos nos para en el OEP...


Abrimos el IREC y seleccionamos el proceso... y con click derecho, Advanced Commands, Select Code Section(s)


Con la opcion solo de la section .text le damos click en el boton Full Dump y guardamos...


Ahora si ponemos el OEP sin la image base ==> 0x271B0 Click en boton IAT AutoSearch, Get Import y Fix Dump y arreglamos el dumpeado que anteriormente hicimos...


Lo analizamos con el RDG y observamos que ya no esta empacado y observamos el lenguaje en que fue hecho...


Por ultimo ejecutamos para comprobar el funcionamiento del ejecutable y todo correcto...


Feliz Cracking
Saludos
CronuX