elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)



+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Armadillo, tocando las.......
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Armadillo, tocando las.......  (Leído 5,418 veces)
bwsr

Desconectado Desconectado

Mensajes: 80


Ver Perfil
Re: Armadillo, tocando las.......
« Respuesta #10 en: 10 Julio 2007, 23:03 pm »

Hola denuevo.

Ya he intentado el unpacking y me pasa una cosa curiosa....

Sigo todos los pasos indicados y finalmente consigo dumpear el ejecutable y reconstruirlo con el ImpReconstructor pero cuando lo ejecuto me sale lo siguiente





Puede ser alguna otra protección pero esta vez del programa??

Si edito el ejecutable con olly veo todos los "string references" etc....(eso me da ha entender que está desempacado no??)

Alguna idea?¿
En línea

Shaddy


Desconectado Desconectado

Mensajes: 722


one_bit_manipulator()


Ver Perfil WWW
Re: Armadillo, tocando las.......
« Respuesta #11 en: 10 Julio 2007, 23:07 pm »

Hola denuevo.

Ya he intentado el unpacking y me pasa una cosa curiosa....

Sigo todos los pasos indicados y finalmente consigo dumpear el ejecutable y reconstruirlo con el ImpReconstructor pero cuando lo ejecuto me sale lo siguiente





Puede ser alguna otra protección pero esta vez del programa??

Si edito el ejecutable con olly veo todos los "string references" etc....(eso me da ha entender que está desempacado no??)

Alguna idea?¿

un poco pequeña me parece esa tabla pero bueno, tendras que ser un .exe de nomas de 200 kb para tener una tabla tan pequeña... mira en olly porque te tira el error.

Salu2..
En línea

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
bwsr

Desconectado Desconectado

Mensajes: 80


Ver Perfil
Re: Armadillo, tocando las.......
« Respuesta #12 en: 11 Julio 2007, 18:05 pm »

He vuelto a intentarlo unas 5 veces mas y en todas me pasa lo mismo.

He copiado el IAT reparado al 1º hijo del programa que he attacheado en olly,después he usado el ArmInline para el "Rebase IAT", después he dumpeado el ejecutable copiando el PE Header del programa original en el attachado y finalmente con el Import Reconstructor he arreglado la IAT.

La cosa es que cuando ejecuto el "dump_.exe" me da un error en "vcl50.blp" pero el en el Import Reconstructor me sale que está añadida y que Valid:YES

Aquí las capturas.

Analisis con el ArmaFP del "dump_exe":

<------- 11-07-2007 17:48:01 ------->
C:\Archivos de programa\Maintenance Pro\MP_Dump_.exe
!- Protected Armadillo
?- GetThreadContext error(31)
Protection system (Basic)
!- <Protection Options>
Standard protection or Minimum protection
Enable Strategic Code Splicing
!- <Backup Key Options>
Variable Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
Allow Only One Copy
Use eSellerate Edition Keys
Use Digital River Edition Keys
Don't Fall Back to Stand-Alone Mode
?- VirtualProtectEx error(5)
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970

Comparación IAT
--------------------


Arm Inline
------------



Import Reconstructor
------------------------



Error
------



No se que hago mal.....
En línea

Shaddy


Desconectado Desconectado

Mensajes: 722


one_bit_manipulator()


Ver Perfil WWW
Re: Armadillo, tocando las.......
« Respuesta #13 en: 11 Julio 2007, 20:36 pm »

He vuelto a intentarlo unas 5 veces mas y en todas me pasa lo mismo.

He copiado el IAT reparado al 1º hijo del programa que he attacheado en olly,después he usado el ArmInline para el "Rebase IAT", después he dumpeado el ejecutable copiando el PE Header del programa original en el attachado y finalmente con el Import Reconstructor he arreglado la IAT.

La cosa es que cuando ejecuto el "dump_.exe" me da un error en "vcl50.blp" pero el en el Import Reconstructor me sale que está añadida y que Valid:YES

Aquí las capturas.

Analisis con el ArmaFP del "dump_exe":

<------- 11-07-2007 17:48:01 ------->
C:\Archivos de programa\Maintenance Pro\MP_Dump_.exe
!- Protected Armadillo
?- GetThreadContext error(31)
Protection system (Basic)
!- <Protection Options>
Standard protection or Minimum protection
Enable Strategic Code Splicing
!- <Backup Key Options>
Variable Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
Allow Only One Copy
Use eSellerate Edition Keys
Use Digital River Edition Keys
Don't Fall Back to Stand-Alone Mode
?- VirtualProtectEx error(5)
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970

Comparación IAT
--------------------


Arm Inline
------------



Import Reconstructor
------------------------



Error
------



No se que hago mal.....

¿y las entradas restantes las dejas sin arreglar? 9ABA20 por ejemplo está sin resolver..

Salu2..
En línea

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
bwsr

Desconectado Desconectado

Mensajes: 80


Ver Perfil
Re: Armadillo, tocando las.......
« Respuesta #14 en: 11 Julio 2007, 21:11 pm »

Me he dado cuenta justo después de postear, lo que pasa que el script solo me arregla algunas......

Que puedo hacer para reparar todas ????
En línea

Shaddy


Desconectado Desconectado

Mensajes: 722


one_bit_manipulator()


Ver Perfil WWW
Re: Armadillo, tocando las.......
« Respuesta #15 en: 11 Julio 2007, 22:24 pm »

Me he dado cuenta justo después de postear, lo que pasa que el script solo me arregla algunas......

Que puedo hacer para reparar todas ????

descubrir como hacerlas a mano, ahora no recuerdo exactamente el método, pero dime, que parte del tutorial es?, porque en http://ricardonarvaja.info en el webstorage tienes muchos de armadillo, pero ese es de lo mejorcito, ahora si, repararla a mano hay que buscarlo yo no recuerdo ahora mismo, pero vamos lo suyo es que mires a donde va esa dirección y como la emula.

Salu2..
En línea

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Seguridad Armadillo 3.78
Ingeniería Inversa
elfoale 6 5,024 Último mensaje 21 Junio 2012, 13:09 pm
por apuromafo CLS
ARMADILLO
Ingeniería Inversa
jEUDi17 5 2,194 Último mensaje 30 Agosto 2012, 14:54 pm
por apuromafo CLS
Armadillo key tool v0.2
Ingeniería Inversa
mangua 5 7,906 Último mensaje 13 Julio 2015, 05:25 am
por engel lex
Armadillo 4.05
Ingeniería Inversa
someRandomCode 4 2,465 Último mensaje 27 Enero 2016, 17:07 pm
por tincopasan
Armadillo v8.20
Ingeniería Inversa
luisparada 5 2,227 Último mensaje 25 Febrero 2017, 01:30 am
por apuromafo CLS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines