Foro de elhacker.net

Buenas,

Estoy desempacando un pequeño programa que parece comprimido en UPX. Usando el método del hardware breakpoint llego al OEP pero a la hora de reconstruir la IAT tengo el siguiente problema: las funciones no figuran por orden de DLL. Es decir, si por ejemplo la IT tiene dos dll user32.dll y kernell32.dll hay parte de las funciones de user32 que en la IAT figuran entre las de kernell32 (obviamente es sólo un ejemplo para que la idea quede más clara). Mi duda es: ¿hay un método/programa que "reordene" la IAT y la IT? En caso negativo, ¿hay algún programa con el que crear las dos cosas desde cero? Si ésta también es que no, ¡lo tendré que hacer a mano!

Saludos!

Pequeña duda, estás seguro que es UPX?, ya que este packer no altera la IAT.

Saludos

UPX se desempaca a si mismo. Si quieres que quede "lindo", usa el packer para desempacar y listo...

Saludos!

Buenas .:UND3R:.,

El exe tiene tooooooda la pinta de haber sido comprimido con UPX pero parecería que lo han tocado un poco para que en algún momento toque la IAT. Si bien no la toca demasiado, parece que se lleva alguna de las funciones y las pone dentro de otro de manera que cuando quieres usar el ImpRec (o lo que uses), te salta el error. Siempre puede ser que me esté confundiendo el sucio exe y parezca que es UPX pero en realidad es algo personalizado. En cualquier caso, tanto PEiD como RDG detectan UPX, aunque siempre se pueden falsificar las "firmas".

Saludos!

Edito: Gracias MCKSys probare con el upx -d a ver si cuela (que por cabezonería ni probé). Mil perdones!!!

Para mi vergüenza, el upx -d funcionó perfectamente y el exe corre sin problemas. Os prometo estar fustigándome una semana, a ver si aprendo a pensar antes de hacer preguntas estúpidas. Por si os aburrís y aunque supongo que esto debería ir en el foro de retos, aquí os dejo de dónde estaba mirando el exe:

http://pastebin.com/SMSPgeZt

Saludos!