Ayuda con OEP de unpackme- FSG 1.31 - dulek

Iniciado por .:UND3R:., 13 Junio 2011, 20:47 PM

0 Miembros y 2 Visitantes están viendo este tema.

.:UND3R:.

Mi título está más que explícito, si pueden darme el método de como lo encontraron sería genial

http://www.megaupload.com/?d=YDXJ9T4Y


Muchas Gracias :D


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

.:UND3R:.

Creo que es 00440300, si alguien lo puede corroborar

Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

apuromafo CLS

abro el depurador
y bajo hacia abajo

00478083   FF37                                PUSH DWORD PTR DS:[EDI]
00478085   AF                                  SCAS DWORD PTR ES:[EDI]
00478086   EB 09                               JMP SHORT unpackme.00478091
00478088   FE0F                                DEC BYTE PTR DS:[EDI]
0047808A  -0F84 7082FCFF                       JE unpackme.00440300
00478090   57                                  PUSH EDI
00478091   55                                  PUSH EBP
00478092   FF53 04                             CALL DWORD PTR DS:[EBX+4]
00478095   8906                                MOV DWORD PTR DS:[ESI],EAX
00478097   AD                                  LODS DWORD PTR DS:[ESI]
00478098   85C0                                TEST EAX,EAX
0047809A  ^75 D9                               JNZ SHORT unpackme.00478075
0047809C   8BEC                                MOV EBP,ESP
0047809E   C3                                  RETN

el salto al oep indica que es 440300, una estructura de delphi

la primera entrada indica
00405DC4  -FF25 EC314400                       JMP DWORD PTR DS:[4431EC]                ; kernel32.GetModuleHandleA


comenzando en el dump

004430EC  00000000
->004430F0  7C809737  kernel32.GetCurrentThreadId
004430F4  7C92188A  ntdll.RtlDeleteCriticalSection
004430F8  7C9110ED  ntdll.RtlLeaveCriticalSection
004430FC  7C911005  ntdll.RtlEnterCriticalSection
00443100  7C809FA1  kernel32.InitializeCriticalSection

$+558    >58C72777  comctl32.ImageList_BeginDrag
$+55C    >58C3C035  comctl32.ImageList_Remove
$+560    >58C4129B  comctl32.ImageList_DrawEx
$+564    >58C491C9  comctl32.ImageList_Draw
$+568    >58C42F51  comctl32.ImageList_GetBkColor
$+56C    >58C3C2B8  comctl32.ImageList_SetBkColor
$+570    >58C3D440  comctl32.ImageList_ReplaceIcon
$+574    >58C729E3  comctl32.ImageList_Add
$+578    >58C3E1C2  comctl32.ImageList_GetImageCount
$+57C    >58C3BD2E  comctl32.ImageList_Destroy
$+580    >58C3BB5B  comctl32.ImageList_Create
$+584    >00000000




.:UND3R:.

Gracias por corroborar, aunque luego de esto presento más problemas

OEP
00440300

inicio
4430f0

final
00443670

largo
3370


Desgraciadamente es indirecto el unpack pero no logro conseguir reparar esas IAT

Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

apuromafo CLS

#4
a mi me corre de lo mas bien:

datos para el import rec
oep:  00040300  (oep-imagebase)
RVA:000430F0 (comienzo iat-imagebase)
largo 584 (final de la iat..)

y el dump de la primera sección con import rec..

.:UND3R:.

Perfecto eso me motiva :D no he errado en los datos por el momento  :silbar:

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

apuromafo CLS

el largo esta mal..es solo eso..los datos recuerda restar la imagebase..eso es todo
:silbar:

.:UND3R:.

Dios no sé restar, metí dentro de la resta al OEP

Que idiota xD

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

apuromafo CLS

entonces doy por hecho que lo desempacaste, felicidades ^^