Ir para conteúdo
  • Cadastre-se
Entre para seguir isso  
sombrakey

Unpacking UPX Manualmente

Posts Recomendados

Estava lá no crackmes.one procurando algum binário para testar as técnicas de unpacking, e achei esse gregland's CrackMe (pass: crackmes.one).

Ele está compactado com o UPX 3.91, coloquei o BP na área de memoria 0040000, mandei executar e ele travou em 004070D0, com o scylla achei a IAT (deu tudo verdinho), fiz o dump e o fix dump, e na hora de executar o crackme não inicializou. 

Depois varias tentativas acabei usando o próprio upx para descompactar e achar o endereço certo que foi 004CAACC. 

Alguém tem alguma dica para travar em 004CAACC manualmente?

 

Vlw.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa,

A técnica é genérica, mas tem suas nuances e as opções do packer podem variar e/ou o binário ter proteções. Tracing é uma saída, mas no caso do UPX, é padrão ele começar com um PUSHAD e terminar com um POPAD antes do "JMP OEP", então outra técnica com ele é buscar esse POPAD na região de memória da seção onde tá o EP (Search for -> Current region -> Command, no x64dbg) e o salto para o OEP vai estar poucas instruções depois dele. ;-)

Abraço.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Em arquivos executáveis PE que já peguei uns  consigui remover a embalagem UPX manualmente com Olly  , já em executáveis ELF eu estou apanhando ainda ..

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
Entre para seguir isso  

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.

×