Tutorial Desempacando DalKrypt 1.0

Hola ahora volviendo a revisar algunos packer, son sencillos pero de ellos se aprende algo, esta vez un sencillisimo packer que a simple vista deja ver el salto al OEP y no destruye la tabla de importaciones ni nada por el estilo...

Primero ejecutamos el RDG Packer Detector y observamos que esta empacado con el DalKrypt...


Lo abrimos con el OllyDBG y observamos a grandes rasgos su estructura, su EP y al final de este nos muestra un salto a EDI...


Tan sospechoso este salto que le ponemos un breakpoint y le damos run o F9 y al caer ahi observamos que el registro EDI vale 0x4271B0 ==> OEP


Lo pasamos con F8 y caemos justamente en el OEP...


Dumpeamos el ejecutable y desmarcamos la casilla de Rebuild Import ya que lo haremos con el IREC...


Abrimos el IREC y seleccionamos el proceso y colocamos en el OEP sin la ImageBase es decir 0x4271B0 - 0x400000 = 0x271B0 y click en boton IAT AutoSearch


Le damos click en el boton Get Import, Despues de ver que no hay API invalidas y esta todo correcto le damos click al boton Fix Dump y seleccionamos el dumpeado que hicimos anteriormente...


Revisamos de nuevo con el RDG para observar que ya nos muestra el compilador y que no esta empacado...


Y ejecutamos para verificar que quedo funcional el ejecutable, y modificamos las string para comprobar...


Feliz Cracking
Saludos
CronuX