 Autor
|
Tema: Ayuda con armadillo (Leído 22,618 veces)
|
KJD
 Desconectado
Mensajes: 314
|
Gracias tena por la respuesta. Ahora que lo dices, he puesto ams atencion y me di cuanta de algo, les dejo la imagen.  Si se fijan bien, entre las instrucciones del kernel, tengo metidas las de ntdll, es esto normal??? mientrastanto me pongo a ver bien los de GetTickCount haber si es eso lo que me la desordena. Saludos y gracias, |
|
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
jajaja Pues eso es de GetTickCount eh amigo?, luego te recomiendo que lo cambies de base cone l ArmInline.
Salu2..
|
|
|
|
|
En línea
|
|
|
|
KJD
Desconectado
Mensajes: 314
|
Gracias Shadow, ya me parecia que no podia quedar asi, estoy intentando con el gettickcount, pero el maldito script no quiere andar como se debe, o no me ordena la IAT, es como si no pusiera a 1 a z.
Saludos.
|
|
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
KJD
Desconectado
Mensajes: 314
|
Pues efectivamente parece ser GetTickCount, ya que si no lo evito, me escribe por ejemplo
kernel32.FreeEnvironmentStringsW
cuando tendria que ser
ernel32.FreeEnvironmentStringsA
ahora tengo un problerma algo grave, no me funciona el script para arreglar la IAT, este no pone a 0 al flag Z, pero si el flacg C, les dejo el escript para ver si descubren que esta mal.
gtc:
bphws 019DCF32, "x" //GetTickCount
bphws 00927D5A , "x" //oep
bphws 019DCCEF, "x" //MAGICO
eob dale
run
dale:
cmp eip, 019FCF32
je repara
cmp eip, 00927D5A
je termina
cmp eip, 019FCCEF
je magico
repara:
mov !CF,1
jmp gtc
magico:
mov !ZF,1
jmp gtc
termina:
ret
Saludos y gracias.
|
|
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
tena
Desconectado
Mensajes: 668
|
no se a donde va jmp gtc ¿?
Creo que ahi esta el error, debe ser un "run" en lugar de los dos jmp gtc
Saludos
|
|
|
|
|
En línea
|
|
|
|
KJD
Desconectado
Mensajes: 314
|
tena el jmp gtc, va arriva de todo para volver a poner los bp, pero el error estaba en el salto magico, eran diferentes.
Ya lo he podido dumpear y demas, pero ahora el problema esta en que la aplicacion se cierra inesperadamente, pero no tengo lo de GetEnvironmentVariableA, asique no se como seguir. Alguna idea???
|
|
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
Si, le tienes que agregar cualquier ArmAccess.dll que encuentres por la red  . Salu2... |
|
|
|
|
En línea
|
|
|
|
KJD
Desconectado
Mensajes: 314
|
Gracias Shadow, voy a intentar con esa dll que me dices, pero me parece que lo he dumpeado mal, porque el programa cargado en olly arranca y empieza a cargar o extraer, no se bien como explicarlo, unas strings de unos archivos del programa y el programa se sale automaticamente.
Voy a revisar bien, sino, es el maldito programa que no quiere andar sin armadillo.
|
|
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
La ArmAccess.dll se encarga de una función que queda de armadillo, ésta función es la misma de la licencia, la que puedes ver si pones un bp en LoadLibraryA como intenta cargarla, y si EAX devuelve 1, entonces pasará a resolver la dirección de una API licensenoseque, que carga unas variables de entorno que necesita para estar registrado. Es por eso que lo puedes tener todo perfecto y no arrancar, para eso recomendación, BP LoadLibraryA y así verás que el mismo te lo está pidiendo a gritos.
Salu2...
|
|
|
|
|
En línea
|
|
|
|
KJD
Desconectado
Mensajes: 314
|
Bueno gente, gracias a toso, Shadow, tena y sobretodo a AmeRiK@nO que e tuvo una paciencia extraordinaria!!! jejeje.
El tema es asi, el programa, esta protegido co hackshield, y algunas otras herramientas antidebugginq ue todavía no descubri, como el tamaño del ejecutable, el tiempo de ejecucion y demas, por eso no me arranca. El arrmaccess no lo necesita ya que no necesita estar reegistrado o no.
Vere sipuedo sacarle esta proteccion que tiene de no poder cargar unas variables ya que me detecta y se sale.
Por lo demas, con el tema de armadillo esta todo resuelto, lo despakete bien, dumpee bien la IAT y lka acomode con ARMLine.
Muchachos gracias por toda la ayuda, ya venci mi primer armadillo!!!! jjejeje saludos a todos.
|
|
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Ayuda Unpack ¿HWID? Armadillo ¿2.2?
Ingeniería Inversa
|
x3NiX
|
3
|
6,063
|
18 Marzo 2011, 16:20 pm
por apuromafo CLS
|
|
|
[?] Ayuda con armadillo peleón
« 1 2 »
Ingeniería Inversa
|
erGato
|
17
|
11,566
|
15 Agosto 2013, 04:16 am
por apuromafo CLS
|
|
|
|
Armadillo key tool v0.2
Ingeniería Inversa
|
mangua
|
5
|
9,615
|
13 Julio 2015, 05:25 am
por engel lex
|
|
|
|
Ayuda con Armadillo v6 URGE
Ingeniería Inversa
|
DANGELO141
|
7
|
3,995
|
28 Mayo 2014, 20:43 pm
por apuromafo CLS
|
|
|
|
Armadillo 4.05
Ingeniería Inversa
|
someRandomCode
|
4
|
3,692
|
27 Enero 2016, 17:07 pm
por tincopasan
|
 |
