Supporter - Nibble sombrakey Posted August 31, 2018 at 01:45 PM Supporter - Nibble Share Posted August 31, 2018 at 01:45 PM Estava lá no crackmes.one procurando algum binário para testar as técnicas de unpacking, e achei esse gregland's CrackMe (pass: crackmes.one). Ele está compactado com o UPX 3.91, coloquei o BP na área de memoria 0040000, mandei executar e ele travou em 004070D0, com o scylla achei a IAT (deu tudo verdinho), fiz o dump e o fix dump, e na hora de executar o crackme não inicializou. Depois varias tentativas acabei usando o próprio upx para descompactar e achar o endereço certo que foi 004CAACC. Alguém tem alguma dica para travar em 004CAACC manualmente? Vlw. Link to comment Share on other sites More sharing options...
Administrators Fernando Mercês Posted August 31, 2018 at 11:57 PM Administrators Share Posted August 31, 2018 at 11:57 PM Opa, A técnica é genérica, mas tem suas nuances e as opções do packer podem variar e/ou o binário ter proteções. Tracing é uma saída, mas no caso do UPX, é padrão ele começar com um PUSHAD e terminar com um POPAD antes do "JMP OEP", então outra técnica com ele é buscar esse POPAD na região de memória da seção onde tá o EP (Search for -> Current region -> Command, no x64dbg) e o salto para o OEP vai estar poucas instruções depois dele. ;-) Abraço. Link to comment Share on other sites More sharing options...
Supporter - Nibble sombrakey Posted September 3, 2018 at 01:37 PM Author Supporter - Nibble Share Posted September 3, 2018 at 01:37 PM Obrigado. Link to comment Share on other sites More sharing options...
Jaguar Posted November 2, 2018 at 07:49 PM Share Posted November 2, 2018 at 07:49 PM Em arquivos executáveis PE que já peguei uns consigui remover a embalagem UPX manualmente com Olly , já em executáveis ELF eu estou apanhando ainda .. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.