Underc0de

[In]Seguridad Informática => Ingeniería Inversa => Mensaje iniciado por: CronuX en Marzo 21, 2010, 08:38:03 PM

Título: Tutorial Desempacando NEOLITE 2.0
Publicado por: CronuX en Marzo 21, 2010, 08:38:03 PM
Hola aki esta otro pequeño tutorial para la coleccion saludos y espero que les llegue a ser util

Adjunto Crackme de la explicacion Crackme (Especial)
(http://www.mediafire.com/?jkhmynw03t2)
Primero abrimos el RDG y miramos con que esta empacado

(http://img532.imageshack.us/img532/2475/44579543.jpg)

Al abrir el archivo nos sale una nag molestosa que nos habla del packer y listo le damos en no

(http://img15.imageshack.us/img15/5444/26901153.jpg)

El crackme abierto lo observamos y analizamos

(http://img519.imageshack.us/img519/4461/60675317.jpg)

Ahora abrimos el OllyDBG el crakme y observamos el EP y un call mas abajo del salto muy sospechoso asi que vamos hasta el y entramos con F7

se diran por que sospechoso por que despues de correrlo con F8 el crackme inicia asi que hay esta la rutina del packer

(http://img51.imageshack.us/img51/7508/17048167.jpg)

Entramos en el push ebx y miramos el registro esp y vemos algun parecido a los metodos pushad / popad asi que intentaremos con el y le damos en follow in dump

(http://img17.imageshack.us/img17/6708/60869751.jpg)

seleccionamos los dos primeros bytes y le ponemos un brakpoint Hardware on access dword

(http://img233.imageshack.us/img233/4027/78139944.jpg)

al correrlo con F9 nos saldra la nag del packer la pasamos y listo llegamos al salto al EAX (JMP EAX) o salto al OEP

(http://img201.imageshack.us/img201/7789/29637258.jpg)

Estando en el OEP lo que haremos sera dumpear el ejecutable y listo estara desempacado

(http://img100.imageshack.us/img100/7840/81370251.jpg)

Para finalizar abrimos el crackme y no nos saldra el molestoso cartel del packer y corre perfectamente que en conclusión a sido desempacado

(http://img85.imageshack.us/img85/4954/11869045.jpg)

saludos y espero que les sea util un gran saludo

Bytes CronuX
Feliz Cracking

Seguire por aki ¬¬  8)