|
Título: Unpackme difícil Themida v2.2.0.5 (Reto) Publicado por: jJPHyES en 19 Junio 2018, 19:25 pm Resulta que gracias a Dios os traigo una aplicación empacada con un themida en sus nuevas versiones, el objetivo principal es unpackearlo completamente y escribir un tutorial detallando cómo se encontró el OEP, cómo se arregla la IAT, y cómo se arreglan los stolen bytes de la aplicación.
Reglas: - Se puede hacer uso de los scripts de LCT-AT - Se puede hacer a mano - Se pueden usar plugins para proteger vuestro olly de la detección del mismo - ... PD: Traceando un poco se puede llegar a encontrar el OEP específicamente en el registro EAX en modo FPU. EAX = 00401000 -> OEP Found! PD2: Acuérdense que la tabla de importaciones (IAT) está completamente destruida con saltos indirectos a la misma o a una sección del packer. E9+API+Jump Fixed FF25-API-Jump PD3: La aplicación está hecha en masm. Link https://mega.nz/#!2TIRjQTZ!rM3hb_bwWUsZctQjZ8YEmokBqeeb7u50YFGwD2zpdlU Que Dios te bendiga, protega y acompañe. Título: Re: Unpackme difícil Themida v2.2.0.5 (Reto) Publicado por: MCKSys Argentina en 20 Junio 2018, 02:51 am Hola!
Dejo las detecciones de VirusTotal (https://www.virustotal.com/en/file/f7f9db4dd2ed5ab75bb4f632d304359f173c05ae748d78381ce078e865ad4345/analysis/1529455542/): 25 / 67 Y el análisis de Hybrid Analisis (https://www.hybrid-analysis.com/sample/f7f9db4dd2ed5ab75bb4f632d304359f173c05ae748d78381ce078e865ad4345) Como siempre, el foro no se hace responsable de lo que descarguen/ejecuten. Saludos! |