Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de
 Autor
|
Tema: Desempacar PECompact 1.68-1.84 de una DLL (Leído 5,582 veces)
|
tena
 Desconectado
Mensajes: 668
|
Al parecer el culpable es el programa y no la dll, ya que justo antes de llegar al EP de la libreria me crea una sección de tamaño 4000 justo donde deberia ponerse la dll, y eso causa que despues la dll crashea. Si abro la dll de MckSys en el ollydbg, y le doy run veremos que se carga perfectamente.  Aqui vemos donde crashea cargandola desde el programa.  si el programa la hubiera colocado en 010A0000 pues esa direccion estaria dentro del exe. |
|
|
|
|
En línea
|
|
|
|
MCKSys Argentina
Desconectado
Mensajes: 1.222
Diviérte crackeando, que para eso estamos!
|
El problema es la ImageBase. Al momento de dumpear, la ImageBase que tenga la DLL es la que hay que poner en el PE Header. Con eso deberia bastar, a menos que se cargue en otra direccion, con lo que nos jode la vida. Para arreglar eso, ya hay que meterse con la Relocation Table. Hacer un script que levante todas las referencias a la sección data/code (excepto jumps) y meterlas en el directorio de Relocacion... Es la otra alternativa que veo...  |
|
|
|
|
En línea
|
---------------------
MCKSys Argentina
"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
tena
Desconectado
Mensajes: 668
|
Bueno al final parche a la dll empacada.
aver si funciona en otra pcra.
después haré un tute para mostrar los pasos que realice.
Modificado: Borre el link a la dll
tratare de hacer un tutorial estos dias.
slds
|
|
|
|
« Última modificación: 19 Noviembre 2010, 15:22 por tena »
|
En línea
|
|
|
|
fperea
Desconectado
Mensajes: 17
|
Hey!!!
Esta si funciona bien!! Gracias! Pero me quedo con muchas dudas. Corriendo en Olly EvalAs con Olly configurado para omitir Excepciones y con un BRK en nuevas DLL
tengo que la Imagebase es 11110000. Esta es la imagen que se debería poner en LordPE?
Espero el tute para repetir el proceso localmente!!!!
Muchas gracias
|
|
|
|
|
En línea
|
|
|
|
|
|
fperea
Desconectado
Mensajes: 17
|
Tena,
Estuve probando la aplicación. Existen dos tipos de licencias: Una estándard y la otra MonteCarlo. La última permite realziar simulaciones de MonteCarlo para probar variaciones de valores. Esa licencia no está activa. Habría que revisar...
La DLL que permite registrar está empacada con PECompact otra vez. Es necesario Reempacarla? No se puede usar desempacada?
Tal vez el error 48 se deba a que no está empacada la DLL y la aplicación solo funcione con la DLL empacada. Esas son las diferencias entre las anteriores DLL y esta nueva que si funciona. Voy a revisar y les cuento...
Gracias
|
|
|
|
|
En línea
|
|
|
|
fperea
Desconectado
Mensajes: 17
|
Ahhh! Le cambié el nombre al tema: Se llama ahora Desempacar PECompact 1.68-1.84 de una DLL y edité algunos post que contenían información que no es relevante publicar...  |
|
|
|
|
En línea
|
|
|
|
tena
Desconectado
Mensajes: 668
|
Tena,
Estuve probando la aplicación. Existen dos tipos de licencias: Una estándard y la otra MonteCarlo. La última permite realziar simulaciones de MonteCarlo para probar variaciones de valores. Esa licencia no está activa. Habría que revisar...
La DLL que permite registrar está empacada con PECompact otra vez. Es necesario Reempacarla? No se puede usar desempacada?
Tal vez el error 48 se deba a que no está empacada la DLL y la aplicación solo funcione con la DLL empacada. Esas son las diferencias entre las anteriores DLL y esta nueva que si funciona. Voy a revisar y les cuento...
Gracias
A esa no la desempaque, solo le parche la comparacion donde comprobaba la integridad del archivo, y la redirigi a una zona vacia, y ahi meti un injerto que parchase donde sea necesario, ya que en ese punto la dll ya esta desempacada completamente en memoria.
|
|
|
|
|
En línea
|
|
|
|
|
|
henryxs87
Desconectado
Mensajes: 13
|
Aunque no estoy interesado para nada en el programa de fperea, resulta interesante la metodología que usaste para desempacar esa DLL Y lo de diseñar una medicina para el programa me sirve de cultura general Ahhh! Le cambié el nombre al tema: Se llama ahora Desempacar PECompact 1.68-1.84 de una DLL y edité algunos post que contenían información que no es relevante publicar... Fprea no creo que haya sido bueno borrar el enlace para descargar el programa, porque el tutorial esta basado en el Ev4ls.1_3 Si quieres sube el programa a mediafire o megaupload con otro nombre si es eso lo que te preocupa y todo eso para que el tute sea completo Editado: aqui esta todo el material del post PDF, DLL, Setup.EXE http://www.mediafire.com/?q0cx45xud5ztxa4 junto con el programa Aqui esta el programa Topo v1.2 http://www.4shared.com/file/72263364/4fecbcc6/Topo_12.htmlGracias a MCKSys y especial a tena por la especial dedicación al tema, aunque la ayuda no sea para mi Saludos!!!
|
|
|
|
« Última modificación: 20 Noviembre 2010, 14:33 por henryxs87 »
|
En línea
|
|
|
|
fperea
Desconectado
Mensajes: 17
|
Gracias man! Pero es un tute un poco avanzado para mi. jejeje. Vale la pena intentar otro método para desempacar la DLL? Por lo pronto yo tengo la aplicación corriendo, gracias a Tena, pero quedo pensando si la DLL tiene una segunda protección o algo así...
|
|
|
|
|
En línea
|
|
|
|
fperea
Desconectado
Mensajes: 17
|
Fprea no creo que haya sido bueno borrar el enlace para descargar el programa, porque el tutorial esta basado en el Ev4ls.1_3
Ya restauré el link de la aplicación. Gracias a MCKSys y especial a tena por la especial dedicación al tema, aunque la ayuda no sea para mi
Si. Muchas gracias Tena, MCKSys por la dedicación. Me gustaría dejar abierto el tema para seguir investigando como desempacar una DLL como esta de PECompact 1.68-184.
|
|
|
|
|
En línea
|
|
|
|
|
|
|
 |
