Apoiador Nibble sombrakey Postado Agosto 31, 2018 em 13:45 Apoiador Nibble Compartilhar Postado Agosto 31, 2018 em 13:45 Estava lá no crackmes.one procurando algum binário para testar as técnicas de unpacking, e achei esse gregland's CrackMe (pass: crackmes.one). Ele está compactado com o UPX 3.91, coloquei o BP na área de memoria 0040000, mandei executar e ele travou em 004070D0, com o scylla achei a IAT (deu tudo verdinho), fiz o dump e o fix dump, e na hora de executar o crackme não inicializou. Depois varias tentativas acabei usando o próprio upx para descompactar e achar o endereço certo que foi 004CAACC. Alguém tem alguma dica para travar em 004CAACC manualmente? Vlw. Link para o comentário Compartilhar em outros sites More sharing options...
Fernando Mercês Postado Agosto 31, 2018 em 23:57 Compartilhar Postado Agosto 31, 2018 em 23:57 Opa, A técnica é genérica, mas tem suas nuances e as opções do packer podem variar e/ou o binário ter proteções. Tracing é uma saída, mas no caso do UPX, é padrão ele começar com um PUSHAD e terminar com um POPAD antes do "JMP OEP", então outra técnica com ele é buscar esse POPAD na região de memória da seção onde tá o EP (Search for -> Current region -> Command, no x64dbg) e o salto para o OEP vai estar poucas instruções depois dele. ;-) Abraço. Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble sombrakey Postado Setembro 3, 2018 em 13:37 Autor Apoiador Nibble Compartilhar Postado Setembro 3, 2018 em 13:37 Obrigado. Link para o comentário Compartilhar em outros sites More sharing options...
Jaguar Postado Novembro 2, 2018 em 19:49 Compartilhar Postado Novembro 2, 2018 em 19:49 Em arquivos executáveis PE que já peguei uns consigui remover a embalagem UPX manualmente com Olly , já em executáveis ELF eu estou apanhando ainda .. Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.