Challenge 3 – Easy unpack

http://reversing.kr/download.php?n=3

Purpose: Find EOP in packed-file

File name: Easy_UnpackMe.exe

File type: Portable Executable 32

Using CFF explorer to get file info, we can see that in Import Directory has only 3 functions: LoadLibraryA, GetProcAddress and ExitProcess. So that it is packed-file!

reversing-kr-ezunpack-1.png

Using IDA to decompile this file. Looking at Graph View, we recognize that the upper part is the transformations like xor, compare to unpack the file. Then the command at address 0x0040A1FB (jmp 0x0041150) to jump to the real program.

reversing-kr-ezunpack-2.png

Set breakpoint at 0x0040A1FB and debug this file. Jump in to the address 0x0041150, we can see that APIs were addressed in memory of process.  

reversing-kr-ezunpack-3.png

So EOP is 0x0041150

Flag: 00401150

Trả lời

Điền thông tin vào ô dưới đây hoặc nhấn vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s

%d người thích bài này: