|
Título: Ayuda con OEP de unpackme- FSG 1.31 - dulek Publicado por: .:UND3R:. en 13 Junio 2011, 20:47 pm Mi título está más que explícito, si pueden darme el método de como lo encontraron sería genial
http://www.megaupload.com/?d=YDXJ9T4Y (http://www.megaupload.com/?d=YDXJ9T4Y) Muchas Gracias :D Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek Publicado por: .:UND3R:. en 13 Junio 2011, 21:13 pm Creo que es 00440300, si alguien lo puede corroborar
Saludos Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek Publicado por: apuromafo CLS en 13 Junio 2011, 22:05 pm abro el depurador
y bajo hacia abajo 00478083 FF37 PUSH DWORD PTR DS:[EDI] 00478085 AF SCAS DWORD PTR ES:[EDI] 00478086 EB 09 JMP SHORT unpackme.00478091 00478088 FE0F DEC BYTE PTR DS:[EDI] 0047808A -0F84 7082FCFF JE unpackme.00440300 00478090 57 PUSH EDI 00478091 55 PUSH EBP 00478092 FF53 04 CALL DWORD PTR DS:[EBX+4] 00478095 8906 MOV DWORD PTR DS:[ESI],EAX 00478097 AD LODS DWORD PTR DS:[ESI] 00478098 85C0 TEST EAX,EAX 0047809A ^75 D9 JNZ SHORT unpackme.00478075 0047809C 8BEC MOV EBP,ESP 0047809E C3 RETN el salto al oep indica que es 440300, una estructura de delphi la primera entrada indica 00405DC4 -FF25 EC314400 JMP DWORD PTR DS:[4431EC] ; kernel32.GetModuleHandleA comenzando en el dump 004430EC 00000000 ->004430F0 7C809737 kernel32.GetCurrentThreadId 004430F4 7C92188A ntdll.RtlDeleteCriticalSection 004430F8 7C9110ED ntdll.RtlLeaveCriticalSection 004430FC 7C911005 ntdll.RtlEnterCriticalSection 00443100 7C809FA1 kernel32.InitializeCriticalSection $+558 >58C72777 comctl32.ImageList_BeginDrag $+55C >58C3C035 comctl32.ImageList_Remove $+560 >58C4129B comctl32.ImageList_DrawEx $+564 >58C491C9 comctl32.ImageList_Draw $+568 >58C42F51 comctl32.ImageList_GetBkColor $+56C >58C3C2B8 comctl32.ImageList_SetBkColor $+570 >58C3D440 comctl32.ImageList_ReplaceIcon $+574 >58C729E3 comctl32.ImageList_Add $+578 >58C3E1C2 comctl32.ImageList_GetImageCount $+57C >58C3BD2E comctl32.ImageList_Destroy $+580 >58C3BB5B comctl32.ImageList_Create $+584 >00000000 Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek Publicado por: .:UND3R:. en 13 Junio 2011, 22:44 pm Gracias por corroborar, aunque luego de esto presento más problemas
OEP 00440300 inicio 4430f0 final 00443670 largo 3370 Desgraciadamente es indirecto el unpack pero no logro conseguir reparar esas IAT Saludos Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek Publicado por: apuromafo CLS en 13 Junio 2011, 23:04 pm a mi me corre de lo mas bien:
datos para el import rec oep: 00040300 (oep-imagebase) RVA:000430F0 (comienzo iat-imagebase) largo 584 (final de la iat..) y el dump de la primera sección con import rec.. Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek Publicado por: .:UND3R:. en 13 Junio 2011, 23:08 pm Perfecto eso me motiva :D no he errado en los datos por el momento :silbar:
Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek Publicado por: apuromafo CLS en 13 Junio 2011, 23:10 pm el largo esta mal..es solo eso..los datos recuerda restar la imagebase..eso es todo
:silbar: Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek Publicado por: .:UND3R:. en 13 Junio 2011, 23:16 pm Dios no sé restar, metí dentro de la resta al OEP
Que idiota xD Título: Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek Publicado por: apuromafo CLS en 14 Junio 2011, 02:32 am entonces doy por hecho que lo desempacaste, felicidades ^^
|