Buenas, he retomado esto de la ingeniería inversa que tenia un poco olvidada así que decidí empezar por un crackme posteado aquí hace poco.

El caso es que está empaquetado con UPX, según el RDG, UPX 1.95 Beta - 2.00W.
Total que como quería investigar un poco busqué tutos para desempaquetarlo de forma manual y di con bastantes que explicaban como hacerlo: encontrar el PUSHAD, luego el POPAD y luego el salto incondicional para llegar al EOP...

Hasta ahí vamos bien, el problema que tengo es que a mi, ese salto (el que esta justo después del POPAD y que me lleva muchos bytes atrás) no me deja en un PUSH EBP como he leído que es habitual sino que me manda a otro salto.

POPAD:


Instrucción en la que cae el salto posterior al POPAD:


Lo raro, además es que en el momento que muevo el cursor o hago cualquier cosa, la instrucción de arriba cambia a esto:


No sé estoy bastante perdido, he intentado seguir lo que explican los tutoriales usando como EOP el del salto, osea 401320 pero no hay manera de que el ejecutable funcione una vez dumpeado y reconstruida la tabla de importaciones.

Algo debo de estar haciendo mal, a ver si podéis decirme qué porque de momento mis conocimientos no me permiten intentar cosas diferentes o buscarme la vida por otro lado.

P.D.: Esto a lo mejor iba en el post del crackme, que es este, pero era por no revivir un post tan antigüo.

Un saludo.

Para gente que no sabe descomprimir un UPX hay programas que lo hacen automáticamente, por ejemplo PEExplorer tiene un plugin muy bueno.

También es posible intentarlo con el mismo UPX.

Hace unos días salió una nueva herramienta que también te lo descomprime automáticamente:
Faster Universal Unpacker, se puede descargar desde:
http://code.google.com/p/fuu/