2014. 10. 30. 12:19
728x90
Exe32Pack 1.4x
Exe32Pack 1.4x (Unpacking).rar
해당 html문서를 보면 이미지와 내용으로 어느정도 알수 있다.
처음 ep부분에서 esp레지스터 값을 하드웨어 브레이크 포인트로 엑세스에 dword값으로 4바이트를 설정한 후 f9를 누르면 jmp eax 값이 뜬다. 해당 eax가면 oep가 되는것이다.
이그림은 처음 올리디버거에 올라왔을때 ep 부분이며, 해당 esp값을 보면 0012ffc4로 되어있다. 해당 주소를 hex값으로 위에말한대로 bp를 걸고 f9로 진행한다
진행하다보면 최종적으로 JMP EAX값으로 뛰는 코드부분이 존재하며, 결국 해당 언팩된 OEP로 주소이동을 하게된다.
(원래 문서나 다른팩에서는 바로 나오는데 여기선 f9 두번에 f8 3번정도 진행했더니 oep값이 나왔다 즉 바로 안나온다고 당황하지말고 좀더 코드를 따라가보면 된다)
이팩은 옛날거라 쉽다 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ
728x90
'리버싱' 카테고리의 다른 글
| unpackingyoda'scrypter1.3 (1).pdf (0) | 2015.05.27 |
|---|---|
| nspack unpack (0) | 2014.11.07 |
| RunAsInvoker 로 UAC 우회 (0) | 2014.10.23 |
| Other AntiDebug tricks (0) | 2014.10.22 |
| ida 6,5 "win64_remotex64.exe" 리모트 디버깅을 위한 파일 (0) | 2014.08.29 |