Bienvenido a Tecnohackers

Tecnohackers » Hacking y Seguridad » Hacking » Ingenieria Inversa
 » 

Tutorial Desempacando Poly!Crypt 2.8



Autor Tema: Tutorial Desempacando Poly!Crypt 2.8  (Leído 1695 veces)

Desconectado CronuX

  • Veterano
  • ***
  • Mensajes: 303
  • OllyDBG
Tutorial Desempacando Poly!Crypt 2.8
« en: Octubre 20, 2010, 09:46:19 pm »
Hola vamos por otro estudio de otro packer sencillo... saludos

Abrimos y analizamos con el RDG Packer Detector y verificamos un Poly Crypt...


Abrimos con el OllyDBG y observamos su EP y no vemos nada que nos pueda ayudar...


Vamos a utilizar la API "GetVersion" para encontrar el OEP y colocamos un BreakPoint en esta...


Le damos F9 o run y paramos en esta zona, en mi caso es la segunda vez ya que la primera nos devuelve en una direccion de memoria que no nos sirve...


Traceamos hasta el RET o con la opcion de Execute Till Return y lo pasamos con F8...


Caemos una instruccion despues de la llamada a la API pero con el scroll un poco hacia arriba observamos que estamos en el OEP...


Ponemos nuevo origen en el OEP...


Dumpeamos el ejecutable con la opcion de Rebuild Import desactivada...


Bueno abrimos el IREC y seleccionamos el proceso, ponemos el OEP sin la image base ==> 271B0
Click en IAT AutoSearch - Click en Get Import - Click en Fix Dump y arreglamos el dumpeado anterior...


Volvemos a verificar si el archivo final quedo totalmente unpackeado con el RDG y observamo que si y esta hecho en Visual C++...


Y por ultimo cambiamos algunas string y comprobamos que el ejecutable quedo totalmente funcional...


Feliz Cracking
Saludos
CronuX



Tags:
Tags:

 


SMF 2.0.11 | SMF © 2015, Simple Machines
Paginas Afiliadas
Twitter - FaceBook - Daraxblog
Designed by Smf Personal