[MUP] PE-PACK v1.0 by ANAKiN 1998

Manual unpack for PE-PACK

PE-PACK 메뉴얼 언패킹

00402904      7D            DB 7D                                    ;  CHAR '}' 00402905      00            DB 00 00402906 > $  74 00         JE SHORT hripr.00402908                  ;  Entry Point.. 00402908   >- E9 F3460300   JMP hripr.00437000 0040290D      00            DB 00 0040290E      00            DB 00

  디버깅을 시작할 때 JE SHORT과 JMP가 있는걸 볼 수 있다. F8을 두 번 눌러 step-over 해준다.

00437000    60              PUSHAD 00437001    E8 00000000     CALL hripr.00437006

그럼 위와 같은 코드를 만날 수 있다. F8을 눌러 한번 더 진행한다. (진행하게 되면 EIP는 00437001을 가르킨다.)

Hex dump 부분에서 ESP를 따라가서 맨 첫 4Byte(Dword)를 Breakpoint 걸어준 후 F9를 눌러서 계속 진행한다.

00437270  - FFE0            JMP EAX                                  ; hripr.0040467C 00437272    8D85 CE050000   LEA EAX,DWORD PTR SS:[EBP+5CE] 00437278    50              PUSH EAX 00437279    8DBD D1040000   LEA EDI,DWORD PTR SS:[EBP+4D1]

EIP는 00437270에서 멈춘다. 위와 같은 어셈블리가 나온다면 된다. JMP EAX를 통해서 F8를 눌러서 OEP로 돌아간다.

0040467C  /.  55            PUSH EBP 0040467D  |.  8BEC          MOV EBP,ESP 0040467F  |.  6A FF         PUSH -1 00404681  |.  68 D85A4000   PUSH hripr.00405AD8 00404686  |.  68 02484000   PUSH hripr.00404802                      ;  JMP to msvcrt._except_handler3; SE handler installation 0040468B  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 00404691  |.  50            PUSH EAX 00404692  |.  64:8925 00000>MOV DWORD PTR FS:[0],ESP 00404699  |.  83EC 68       SUB ESP,68 0040469C  |.  53            PUSH EBX 0040469D  |.  56            PUSH ESI 0040469E  |.  57            PUSH EDI 0040469F  |.  8965 E8       MOV DWORD PTR SS:[EBP-18],ESP 004046A2  |.  33DB          XOR EBX,EBX 004046A4  |.  895D FC       MOV DWORD PTR SS:[EBP-4],EBX 004046A7  |.  6A 02         PUSH 2 004046A9  |.  FF15 78524000 CALL DWORD PTR DS:[405278]               ;  msvcrt.__set_app_type

그럼 OEP로 돌아왔으니 덤프뜬다.

끝

참고자료 : http://comcrazy.net76.net/REA/Unpack%20PE%20Pack%20v1.0.htm