[Tutorial] Desempacando FSG 2.0

Iniciado por fary, 12 Febrero 2016, 02:03 AM

0 Miembros y 1 Visitante están viendo este tema.

fary

Mirando crackmes para practicar aquí me tope con uno que estaba empacado con este packer (FSG 2.0). Me puse a buscar por internet y no vi ningún tuto en español, excepto uno de +NCR de CracksLatinos, asique me decidi seguirlo y probar a desempacarlo.

El crackme en cuestion es CrackMe#1 (Lucky) de KLiZMA, lo podeis buscar en la web antes citada.

Para desempacarlo vamos a necesitar el plugin OllyDump, que podemos obtener desde aquí.

Bueno, una vez hecho esto lo abrimos con RDG Packer y vemos que efectivamente, esta empacado  :xD



Lo abrimos con OllyDbg y vamos a ver algo así.



Ahora vamos a buscar el verdaero OEP, para ello vamos a Plugins > OllyDump > Find OEP by section hop (Trace Over).

Y caemos aquí



Ahora clic derecho > Analisis > Remove Analisis from this module. Y ahí vemos  el verdadero OEP.



Ahora, vamos a guardar los cambios, para ello vamos a Plugins > OllyDump > Dump Debugger Process. Le damos al botón Dump y guardamos el ejecutable desempacado.

Ahora nos surge otro problema, por lo menos en Windows 7 de 64 bits y es qeu al intentar ejecutarlo, nuestro ejecutable no funciona  :¬¬



Para que funcione tendremos que hacer clic derecho sobre el ejecutable y darle a solucionar opciones de compatibilidad. Seguir el asistente y dejarlo con la configuración que nos recomienda el SO.

Y bueno, ahora si nos deja ejecutarlo correctamente.



Bueno, pues eso ha sido todo. No es un gran cosa pero en determinados casos te puede sacar de un "apuro".  

Espero que a alguien le sirva.

saludos.
Un byte a la izquierda.

apuromafo CLS

Cuando se desempaca cualquier programa es necesario reparar la "iat", esto es porque las llamadas de la entrada de importación funcionarán solo para tu pc, y no para otro, he ahi la excepción , en general fsg 2.0 y 1.x no es tanta la diferencia, hace una excepcion y luego una pequeña rutina que saltaba en un salto hacia el oep osea un script o buscar un patron de los bytes "FF630C" que apuntan a la instrucción "JMP DWORD PRTR DS:[EBX+C]"  podrías encontrar el salto al oep.
los packers simples son UPX, fsg, petite, mew

respecto a dumpear, yo sugeriria usar Scylla ya que puedes dumpear y además reparar la iat también, el cual normalmente son generados en cada dependencia compilada, imaginate que el programa apunta a una direccion 77xxxxx  en windows xp y en mi sistema operativo  8.1 x64 esa misma dirección está en 705xxxxxx, no es redireccionar, es solo que el núcleo del sistema operativo puede leer eso desde la IT(entrada de importación) etc, bueno


si no se puede  acceder a tuts4you,aqui hay un mirrow  http://www.openrce.org/downloads/details/108/ollydump

por otro lado mas dumpers te sugeriria http://low-priority.appspot.com/ollydumpex/ el cual tiene soporte para otros depuradores y opciones adicionales (agregar sección de memoria adicional) , bastante útil para temas mas densos.


Por otro lado mas tutoriales en crackslatinos pues hay un buscador (colocas ricardonarvaja.info/WEB/buscador.php y colocas la palabra clave ejemplo FSG)
de ahi puedes encontrar uno de cronux, pero en especial para tu tipo de versión sirve esto:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/401-500/461-Video.Unpack.FSG%202.0%20-%20bartxt.por.BrunoMaestro.rar



bueno, un saludo a la distancia, y espero te sigas animando es tema de tiempo solamente :)

Saludos Apuromafo

fary

Gracias por los consejos apuromafo! :)
Un byte a la izquierda.