 Autor
|
Tema: Ayuda con armadillo (Leído 22,543 veces)
|
KJD
 Desconectado
Mensajes: 314
|
QUe tal gente, el tema es el siguiente, se que armadillo es complejod e atacar, pero me gustaria empezar de una vez jeje.
Tengo un ejecutable, segun el peid Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks. ahora, en el administrador de tareas tengo dos procesos llamados igual, con el nombre de mi ejecutable.
Como procedo??? en el baul de ricardo hay muchisimas teorias, alguno me diria cual es la mas indicada??? gracias.
|
|
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
|
|
KJD
Desconectado
Mensajes: 314
|
Gracias por la respuesta AmeRiK@nO, la aplicacion que me diste dio esta info. <------- 08-11-2008 23:11:17 -------> !- Protected Armadillo Protection system (Professional) !- <Protection Options> Debug-Blocker !- <Backup Key Options> Fixed Backup Keys !- <Compression Options> Minimal/Fastest Compression !- <Other Options> !- Version 4.48 Mañana lee los tutos gracias por la ayuda. |
|
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
Amerikano|Cls
Desconectado
Mensajes: 789
[Beyond This Life]
|
Ok, segun veo tiene lo minimo, menos mal no tubo copymem II, ahora ya te podras guiar por mi tute jeje, pero fielmente te recomiendo los de solid son los mejores. Ahora lo que tenes que hacer es evitar que corra en 2 procesos a traves de un BP en OpenMutexA (tildando todas las excepciones en Debuggin options + exceptions para que solo pare por el bp y no confundir con otras cosas jeje) y como a la segunda o en otros casos a la 3 parada del olly en este BP, podes poner eax a 1 despues del retn de esta api, y asi evitaras que corra en 2 procesos, ahora para hallar el oep, lo podes hacer de muchas de las formas convencionales (no todas a veces funkan  ), pero la que me sirvio es como explica solid en sus tutes, es poner un BP en CreateThread y cuando pare llegar al retn y buscar un poco hacia abajo hasta dar con unas llamadas indirectas (la mas comun es call EAX), y a la segunda que aparece, creo que siempre es asi, esa sera entonces la llamada al OEP y de ahi anda la mona  , tambien lo podras hacer poniendo un BP ON MEMORY ACCES en la sección CODE. Luego de llegar al OEP solo te restaria reparar la IAT, dumpear y arreglar el pe-header copiandolo del original jeje. Espero te sirva, aunque como diré siempre los tutes de Solid son lo mejor en estos casos jeje, lo que acabo de decir es tan solo una añadidura . salu2. AmeRiK@nO |
|
|
|
|
En línea
|
|
|
|
Amerikano|Cls
Desconectado
Mensajes: 789
[Beyond This Life]
|
Se me olvidaba decirte algo jeje, cualquier duda comunicamela a mi msn jeje y asi trabajaremos mas comodo y los avances los posteamos salu2 amerikano |
|
|
|
|
En línea
|
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
Ni COPYMEM, ni Nanomites, ni IAT Scramble, ni Code Splicing, xD, amos está tirado... porque yo últimamente ando con cada uno ¬¬...
KJD, en éste para localizar el OEP como no tiene CopyMemII, tienes que meter un BP en CreateThread, y fijarte donde retorna porque habrá un call r32 que te llevará al OEP.
Luego miras a ver como está la tabla y si hay entradas mal metes un hw y reinicias para ver donde se escriben mal.
Salu2...
|
|
|
|
|
En línea
|
|
|
|
Amerikano|Cls
Desconectado
Mensajes: 789
[Beyond This Life]
|
Ni COPYMEM, ni Nanomites, ni IAT Scramble, ni Code Splicing, xD, amos está tirado... porque yo últimamente ando con cada uno ¬¬...
KJD, en éste para localizar el OEP como no tiene CopyMemII, tienes que meter un BP en CreateThread, y fijarte donde retorna porque habrá un call r32 que te llevará al OEP.
Luego miras a ver como está la tabla y si hay entradas mal metes un hw y reinicias para ver donde se escriben mal.
Salu2...
¿call r32 significa indirecto?, si es asi bueno saberlo salu2 amerikano
|
|
|
|
|
En línea
|
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
jajaj si bueno, en OllyDBG puedes hacer una búsqueda de un:
call r32
ésto dará todos los resultados de los registros de "32 Bits" (EAX, EBX, ECX, etc), de la misma manera también puedes buscar.
mov eax, r8
etc.
También, imagina que llegas del CreateThread, y eres un vagoo como yo que no le apetece buscar el call r32. Entonces le das a CTRL + T (Run Trace options) y pones que tracee hasta encontrar una instruccion de las siguientes, y pones.
call r32, le das a CTRL+F12 (TRACE OVER), para que no te entre en las DLL y listo.
Salu2...
|
|
|
|
|
En línea
|
|
|
|
Amerikano|Cls
Desconectado
Mensajes: 789
[Beyond This Life]
|
jajaj si bueno, en OllyDBG puedes hacer una búsqueda de un:
call r32
ésto dará todos los resultados de los registros de "32 Bits" (EAX, EBX, ECX, etc), de la misma manera también puedes buscar.
mov eax, r8
etc.
También, imagina que llegas del CreateThread, y eres un vagoo como yo que no le apetece buscar el call r32. Entonces le das a CTRL + T (Run Trace options) y pones que tracee hasta encontrar una instruccion de las siguientes, y pones.
call r32, le das a CTRL+F12 (TRACE OVER), para que no te entre en las DLL y listo.
Salu2...
Por eso eres grande ShaDDy, muchas gracias no sabia esto jeje salu2 amerikano
|
|
|
|
|
En línea
|
|
|
|
KJD
Desconectado
Mensajes: 314
|
Gracias AmeRiK@nO y Shadow, sus respuestas como siempre impecables , les comento los avances. He seguido las instrucciones de AmeRiK@nO, he puesto un BP en CreateMutexA, para evitar que se cree el segundo proceso en la segunda parada de la api, poniendo EAX a 0, el problema es que funciono bien, es mas puse un BP on Access en la sección .code y llege a lo que me parecia el OEP, ya que dos instrucciones mas abajo tenia la api getstartupinfo, el caso es que intente dumpear y el olly se travo, emepzo a ejecutarce una rutina y no andubo mas, es asi como digo, sonara raro pero asi fue. El problema es que ahora eax no vale mas 0 sino BC, AC, B0, etc, nunca 0, pero si lo pongo a 0 tampoco anda ya que queda en running y no arranca el programa. Voy a ver como soluciono este problema y les comento mas resultados. Saludos y gracias. |
|
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Ayuda Unpack ¿HWID? Armadillo ¿2.2?
Ingeniería Inversa
|
x3NiX
|
3
|
6,047
|
18 Marzo 2011, 16:20 pm
por apuromafo CLS
|
|
|
[?] Ayuda con armadillo peleón
« 1 2 »
Ingeniería Inversa
|
erGato
|
17
|
11,546
|
15 Agosto 2013, 04:16 am
por apuromafo CLS
|
|
|
|
Armadillo key tool v0.2
Ingeniería Inversa
|
mangua
|
5
|
9,596
|
13 Julio 2015, 05:25 am
por engel lex
|
|
|
|
Ayuda con Armadillo v6 URGE
Ingeniería Inversa
|
DANGELO141
|
7
|
3,978
|
28 Mayo 2014, 20:43 pm
por apuromafo CLS
|
|
|
|
Armadillo 4.05
Ingeniería Inversa
|
someRandomCode
|
4
|
3,677
|
27 Enero 2016, 17:07 pm
por tincopasan
|
 |
por eso digo lee el tute de solid que hay mas abajo jeje) o debugblocker tenes unas formas de hacerlo, mira pasale el armaFp y ahi te dice que protecciones usa, y luego de eso lee esto jeje:
