Imprimir Página - Ayuda con OEP de unpackme- FSG 1.31

Título: Ayuda con OEP de unpackme- FSG 1.31 - dulek
Publicado por: .:UND3R:. en 13 Junio 2011, 20:47 PM

Mi título está más que explícito, si pueden darme el método de como lo encontraron sería genial

http://www.megaupload.com/?d=YDXJ9T4Y (http://www.megaupload.com/?d=YDXJ9T4Y)

Muchas Gracias :D

Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
Publicado por: .:UND3R:. en 13 Junio 2011, 21:13 PM

Creo que es 00440300, si alguien lo puede corroborar

Saludos

Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
Publicado por: apuromafo CLS en 13 Junio 2011, 22:05 PM

abro el depurador
y bajo hacia abajo

00478083 FF37 PUSH DWORD PTR DS:[EDI]
00478085 AF SCAS DWORD PTR ES:[EDI]
00478086 EB 09 JMP SHORT unpackme.00478091
00478088 FE0F DEC BYTE PTR DS:[EDI]
0047808A -0F84 7082FCFF JE unpackme.00440300
00478090 57 PUSH EDI
00478091 55 PUSH EBP
00478092 FF53 04 CALL DWORD PTR DS:[EBX+4]
00478095 8906 MOV DWORD PTR DS:[ESI],EAX
00478097 AD LODS DWORD PTR DS:[ESI]
00478098 85C0 TEST EAX,EAX
0047809A ^75 D9 JNZ SHORT unpackme.00478075
0047809C 8BEC MOV EBP,ESP
0047809E C3 RETN

el salto al oep indica que es 440300, una estructura de delphi

la primera entrada indica
00405DC4 -FF25 EC314400 JMP DWORD PTR DS:[4431EC] ; kernel32.GetModuleHandleA

comenzando en el dump

004430EC 00000000
->004430F0 7C809737 kernel32.GetCurrentThreadId
004430F4 7C92188A ntdll.RtlDeleteCriticalSection
004430F8 7C9110ED ntdll.RtlLeaveCriticalSection
004430FC 7C911005 ntdll.RtlEnterCriticalSection
00443100 7C809FA1 kernel32.InitializeCriticalSection

$+558 >58C72777 comctl32.ImageList_BeginDrag
$+55C >58C3C035 comctl32.ImageList_Remove
$+560 >58C4129B comctl32.ImageList_DrawEx
$+564 >58C491C9 comctl32.ImageList_Draw
$+568 >58C42F51 comctl32.ImageList_GetBkColor
$+56C >58C3C2B8 comctl32.ImageList_SetBkColor
$+570 >58C3D440 comctl32.ImageList_ReplaceIcon
$+574 >58C729E3 comctl32.ImageList_Add
$+578 >58C3E1C2 comctl32.ImageList_GetImageCount
$+57C >58C3BD2E comctl32.ImageList_Destroy
$+580 >58C3BB5B comctl32.ImageList_Create
$+584 >00000000

Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
Publicado por: .:UND3R:. en 13 Junio 2011, 22:44 PM

Gracias por corroborar, aunque luego de esto presento más problemas

OEP
00440300

inicio
4430f0

final
00443670

largo
3370

Desgraciadamente es indirecto el unpack pero no logro conseguir reparar esas IAT

Saludos

Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
Publicado por: apuromafo CLS en 13 Junio 2011, 23:04 PM

a mi me corre de lo mas bien:

datos para el import rec
oep: 00040300 (oep-imagebase)
RVA:000430F0 (comienzo iat-imagebase)
largo 584 (final de la iat..)

y el dump de la primera sección con import rec..

Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
Publicado por: .:UND3R:. en 13 Junio 2011, 23:08 PM

Perfecto eso me motiva :D no he errado en los datos por el momento :silbar:

Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
Publicado por: apuromafo CLS en 13 Junio 2011, 23:10 PM

el largo esta mal..es solo eso..los datos recuerda restar la imagebase..eso es todo
:silbar:

Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
Publicado por: .:UND3R:. en 13 Junio 2011, 23:16 PM

Dios no sé restar, metí dentro de la resta al OEP

Que idiota xD

Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
Publicado por: apuromafo CLS en 14 Junio 2011, 02:32 AM

entonces doy por hecho que lo desempacaste, felicidades ^^

Test Foro de elhacker.net SMF 2.1

Programación => Ingeniería Inversa => Mensaje iniciado por: .:UND3R:. en 13 Junio 2011, 20:47 PM