elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Armadillo, tocando las.......
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Armadillo, tocando las.......  (Leído 8,068 veces)
bwsr

Desconectado Desconectado

Mensajes: 80


Ver Perfil
Armadillo, tocando las.......
« en: 9 Julio 2007, 16:53 pm »

Hola, estoy intentando desempacar un Armadillo con olly manualmente.

La cosa es que este tipo de packer suele crear muchas "exceptions", entonces lo que hago es desde olly Options --> Debugging options  y añado en la pestaña exceptions --> C0000005 (ACCESS VIOLATION)

Pero lo que no entiendo es porque me sigue saliendo el error C0000005 al ejecutar el programa F9  despues que le digo a ollly que ignore esa exception.....

Alguna idea.....¿?¿?

Gracias.
En línea

Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Armadillo, tocando las.......
« Respuesta #1 en: 9 Julio 2007, 16:56 pm »

Creo recordar (no estoy seguro, hace tiempo que no toco armadillo) que el Armadillo no generaba ninguna exceptción...creo que era el ASProtect que creaba muchas..... :-\ :-\

Dime la version del armadillo... ;) ;)
En línea

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
bwsr

Desconectado Desconectado

Mensajes: 80


Ver Perfil
Armadillo, tocando las.......
« Respuesta #2 en: 9 Julio 2007, 17:06 pm »

Con el PEid me dice que es --> Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks

La cosa es que el RDG Packer Detector me dice que no está empacado sino que esta programado en Microsoft Visual C++ 6 y según he leido el armadillo se confunde muchas veces con este lenguaje....
En línea

Shaddy


Desconectado Desconectado

Mensajes: 722


one_bit_manipulator()


Ver Perfil WWW
Re: Armadillo, tocando las.......
« Respuesta #3 en: 9 Julio 2007, 18:04 pm »

Con el PEid me dice que es --> Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks

La cosa es que el RDG Packer Detector me dice que no está empacado sino que esta programado en Microsoft Visual C++ 6 y según he leido el armadillo se confunde muchas veces con este lenguaje....


utiliza el método avanzado (M-B) en los radio botones del margen inferior derecho y dinos que te dice.

Salu2..
En línea

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
bwsr

Desconectado Desconectado

Mensajes: 80


Ver Perfil
Re: Armadillo, tocando las.......
« Respuesta #4 en: 9 Julio 2007, 18:19 pm »

En línea

Shaddy


Desconectado Desconectado

Mensajes: 722


one_bit_manipulator()


Ver Perfil WWW
Re: Armadillo, tocando las.......
« Respuesta #5 en: 9 Julio 2007, 18:28 pm »



está bien, pero cambia de versión, la excepción que te marca es que finalizó el proceso porque detecta el debugger.

baja esta:

http://shaddy.co.nr/HERRAMIENTAS/RDG%20Packer%20Detector%20v0.6.5%20Beta.zip

Salu2..
En línea

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
bwsr

Desconectado Desconectado

Mensajes: 80


Ver Perfil
Re: Armadillo, tocando las.......
« Respuesta #6 en: 9 Julio 2007, 18:36 pm »

Tengo el plugin "isDebugPresent" pero me sigue dando la lata.

No sabrás de algún manual para esta versión no???


Gracias por las respuestas ShadowDark.
En línea

Shaddy


Desconectado Desconectado

Mensajes: 722


one_bit_manipulator()


Ver Perfil WWW
Re: Armadillo, tocando las.......
« Respuesta #7 en: 9 Julio 2007, 18:56 pm »

Tengo el plugin "isDebugPresent" pero me sigue dando la lata.

No sabrás de algún manual para esta versión no???


Gracias por las respuestas ShadowDark.

http://shaddy.co.nr/OllyDBG.rar

baja mi ollydbg y prueba el OllyGhost, y si no el plugin OllyAdvanced. Éste olly esta muy completo ;).

en cuanto al manual la página de ricardo está caída y concretamente esa version la tendrías que analizar con:

Modificado:ArmaFP v1.6

dime la version exacta que te dice y las protecciones y ya te buscaré uno.

Salu2...
En línea

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
bwsr

Desconectado Desconectado

Mensajes: 80


Ver Perfil
Re: Armadillo, tocando las.......
« Respuesta #8 en: 9 Julio 2007, 19:11 pm »



!-
Código:
 Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Nanomites Processing
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Allow Only One Copy
Disable Monitoring Thread
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970

Tiene de todo no?¿...

Muchas gracias ShadowDark !!!
En línea

Shaddy


Desconectado Desconectado

Mensajes: 722


one_bit_manipulator()


Ver Perfil WWW
Re: Armadillo, tocando las.......
« Respuesta #9 en: 9 Julio 2007, 20:23 pm »



!-
Código:
 Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Nanomites Processing
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Allow Only One Copy
Disable Monitoring Thread
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970

Tiene de todo no?¿...

Muchas gracias ShadowDark !!!

Así si que hiciste un buen análisis :).

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/847-Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar

creo que éste valdrá :). Cuentame si te funciona. OJO no todo será al pie de la letra, porque éste que te pongo tiene muchas protecciones pero vamos, tiene que orientarte.

Salu2...
En línea

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Seguridad Armadillo 3.78
Ingeniería Inversa
elfoale 6 6,547 Último mensaje 21 Junio 2012, 13:09 pm
por apuromafo CLS
ARMADILLO
Ingeniería Inversa
jEUDi17 5 3,601 Último mensaje 30 Agosto 2012, 14:54 pm
por apuromafo CLS
Armadillo key tool v0.2
Ingeniería Inversa
mangua 5 10,026 Último mensaje 13 Julio 2015, 05:25 am
por engel lex
Armadillo 4.05
Ingeniería Inversa
someRandomCode 4 3,974 Último mensaje 27 Enero 2016, 17:07 pm
por tincopasan
Armadillo v8.20
Ingeniería Inversa
luisparada 5 4,533 Último mensaje 25 Febrero 2017, 01:30 am
por apuromafo CLS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines