Jump to content
Sign in to follow this  
sombrakey

Unpacking UPX Manualmente

Recommended Posts

Estava lá no crackmes.one procurando algum binário para testar as técnicas de unpacking, e achei esse gregland's CrackMe (pass: crackmes.one).

Ele está compactado com o UPX 3.91, coloquei o BP na área de memoria 0040000, mandei executar e ele travou em 004070D0, com o scylla achei a IAT (deu tudo verdinho), fiz o dump e o fix dump, e na hora de executar o crackme não inicializou. 

Depois varias tentativas acabei usando o próprio upx para descompactar e achar o endereço certo que foi 004CAACC. 

Alguém tem alguma dica para travar em 004CAACC manualmente?

 

Vlw.

Share this post


Link to post
Share on other sites

Opa,

A técnica é genérica, mas tem suas nuances e as opções do packer podem variar e/ou o binário ter proteções. Tracing é uma saída, mas no caso do UPX, é padrão ele começar com um PUSHAD e terminar com um POPAD antes do "JMP OEP", então outra técnica com ele é buscar esse POPAD na região de memória da seção onde tá o EP (Search for -> Current region -> Command, no x64dbg) e o salto para o OEP vai estar poucas instruções depois dele. ;-)

Abraço.

Share this post


Link to post
Share on other sites

Em arquivos executáveis PE que já peguei uns  consigui remover a embalagem UPX manualmente com Olly  , já em executáveis ELF eu estou apanhando ainda ..

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...