w4kfu's bl0g

64bits Aladdin asm BigArray blackbox BSD C++ c-dilla cidox coding crackme Crunch/PE crypto CTF defcon diablo II Dot duqu emacs escargot FakeAV Forensics FreeBSD fun GraphViz heap overflow ida iphone jail jexec langage C log malware MBR nanomites ncurses ndh Nintendo ntfs objdump Ocaml PECompact PECompact2 porno-rolik prioxer ptrace pwnable red alert reverse RMLL Ropping safedisc screen securom SEH overwrite Shellcode SNES SoSix stolen bytes strace tdl4 tElock TLS Callback tmux toolz Unpacking unpackme UPX VirtualBox vptr vtable wargame Windows WORDCHARS Zombies zsh ZwMapViewOfSection ZwUnmapViewOfSection

• ATOM 1.0

• LSE
• Shell-Storm
• Xylitol
• delroth

Meta

gw4kfu [at] gmail [d0t] com

Follow @w4kfu

Un OEP Finder pour escargot en C

Introduction

Je voulais m'amuser avec l'API de debug sous windows ( voir autre chose que ptrace() ).
J'ai donc décidé d'écrire un OEP finder pour le packer escargot.
Voici le cheminement de mon programme :

• Bypass IsDebuggerPresent()
• Hadware Breakpoint à l'éxécution sur l'OEP
• Step Over de 3. L'état de tous les registres seront sauvés sur la pile (PUSHAD)
• Hardware Breakpoint à l'accés de l'un de ses états
• Step Over de 3. On arrive à l'OEP original
• Il suffit de fix le dump crée avec ImportRec à partir de l'OEP trouvé par le programme et le tour est joué

Source

Voici les sources : main.c, main.h

Conclusion

Ce programme peut vous apprendre les subtilités des debug register, comment utiliser l'API de debug de Windows, et jouer avec le format PE.
Have fun.

.