Jump to content

Unpacking UPX Manualmente


sombrakey

Recommended Posts

  • Supporter - Nibble

Estava lá no crackmes.one procurando algum binário para testar as técnicas de unpacking, e achei esse gregland's CrackMe (pass: crackmes.one).

Ele está compactado com o UPX 3.91, coloquei o BP na área de memoria 0040000, mandei executar e ele travou em 004070D0, com o scylla achei a IAT (deu tudo verdinho), fiz o dump e o fix dump, e na hora de executar o crackme não inicializou. 

Depois varias tentativas acabei usando o próprio upx para descompactar e achar o endereço certo que foi 004CAACC. 

Alguém tem alguma dica para travar em 004CAACC manualmente?

 

Vlw.

Link to comment
Share on other sites

  • Administrators

Opa,

A técnica é genérica, mas tem suas nuances e as opções do packer podem variar e/ou o binário ter proteções. Tracing é uma saída, mas no caso do UPX, é padrão ele começar com um PUSHAD e terminar com um POPAD antes do "JMP OEP", então outra técnica com ele é buscar esse POPAD na região de memória da seção onde tá o EP (Search for -> Current region -> Command, no x64dbg) e o salto para o OEP vai estar poucas instruções depois dele. ;-)

Abraço.

Link to comment
Share on other sites

  • 1 month later...

Archived

This topic is now archived and is closed to further replies.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...