Unpackme difícil Themida v2.2.0.5 (Reto)

jJPHyES · 19 Junio 2018, 19:25 PM

Resulta que gracias a Dios os traigo una aplicación empacada con un themida en sus nuevas versiones, el objetivo principal es unpackearlo completamente y escribir un tutorial detallando cómo se encontró el OEP, cómo se arregla la IAT, y cómo se arreglan los stolen bytes de la aplicación.

Reglas:

- Se puede hacer uso de los scripts de LCT-AT
- Se puede hacer a mano
- Se pueden usar plugins para proteger vuestro olly de la detección del mismo
- ...

PD: Traceando un poco se puede llegar a encontrar el OEP específicamente en el registro EAX en modo FPU.

EAX = 00401000 -> OEP Found!

PD2: Acuérdense que la tabla de importaciones (IAT) está completamente destruida con saltos indirectos a la misma o a una sección del packer.

E9+API+Jump

Fixed

FF25-API-Jump

PD3: La aplicación está hecha en masm.

Link

https://mega.nz/#!2TIRjQTZ!rM3hb_bwWUsZctQjZ8YEmokBqeeb7u50YFGwD2zpdlU

Que Dios te bendiga, protega y acompañe.

MCKSys Argentina · 20 Junio 2018, 02:51 AM

Hola!

Dejo las detecciones de VirusTotal: 25 / 67

Y el análisis de Hybrid Analisis

Como siempre, el foro no se hace responsable de lo que descarguen/ejecuten.

Saludos!

Test Foro de elhacker.net SMF 2.1

Unpackme difícil Themida v2.2.0.5 (Reto)

jJPHyES

MCKSys Argentina