Resulta que gracias a Dios os traigo una aplicación empacada con un themida en sus nuevas versiones, el objetivo principal es unpackearlo completamente y escribir un tutorial detallando cómo se encontró el OEP, cómo se arregla la IAT, y cómo se arreglan los stolen bytes de la aplicación.
Reglas:
- Se puede hacer uso de los scripts de LCT-AT
- Se puede hacer a mano
- Se pueden usar plugins para proteger vuestro olly de la detección del mismo
- ...
PD: Traceando un poco se puede llegar a encontrar el OEP específicamente en el registro EAX en modo FPU.
EAX = 00401000 -> OEP Found!
PD2: Acuérdense que la tabla de importaciones (IAT) está completamente destruida con saltos indirectos a la misma o a una sección del packer.
E9+API+Jump
Fixed
FF25-API-Jump
PD3: La aplicación está hecha en masm.
Link
https://mega.nz/#!2TIRjQTZ!rM3hb_bwWUsZctQjZ8YEmokBqeeb7u50YFGwD2zpdlU
Que Dios te bendiga, protega y acompañe.