Lena Reversing - tutorial 21_2

Lena Reversing tutorial 21_2

이번엔 두번째 프로그램 UnPackMe_UPX 를 가지고 진행을 한다. 

파일이름에서 볼 수 있는 UPX는 상당히 유명한 패커의 일종이다.  

 

Ollydbg로 열어준다. 

PUSHAD로 시작하는 것이 눈에 띈다. 

이번에도 ESP를 이용해서 OEP를 찾아주도록 한다. 

F8을 눌러 한 줄 진행하자마자 ESP값이 변한다. 0012FFA4 에 hw bp를 걸어준다. 

그 다음 F9를 눌러 진행해준다. 

다음과 같이 break가 걸린다. 

00401000으로 분기하고 있고 이 주소가 OEP로 보인다. 

ollydump를 통해 dump를 떠준다. Rebuild Import는 체크 해제하고 진행한다. 

LoadPE 프로그램을 통해서 dump 한 파일을 Rebuild PE를 해준다. 

이제 IAT를 수정해주도록 한다. Import REC로 열어서 IAT AutoSearch를 누른다.

현재 RVA값이 85278로 되어있다. Ollydbg에서 485278 주소로 가본다. 

485278 주소에서 위로 좀 올라가면 77로 시작하는 값들이 더 있다. 따라서 RVA는 4870D8로 바꾸어준다. 

바꾸어주고 Get Imports를 누르면 성공적을 365개의 함수가 import 된다. 

Fix Dump 버튼을 눌러 성공적으로 마무리한다. 

끝.