Autor
|
Tema: Ayuda con una dll (Leído 9,721 veces)
|
cucay
Desconectado
Mensajes: 9
|
Hola:
Si probé ese shift con todos los Fs y nada. Se deja attachar pero te deja botado en mfc80 o ntdll, mejor dicho este programa no es bobo!. Que dicen, arrojo la toalla?
PD. No creo que sea el IsdebbuggerPresent a pesar de estar en la dll, digo porque todos esos plugins que se han ideado no funcionan y cuando digo todos son todoss.
|
|
|
En línea
|
|
|
|
KJD
Desconectado
Mensajes: 314
|
Hola:
Si probé ese shift con todos los Fs y nada. Se deja attachar pero te deja botado en mfc80 o ntdll, mejor dicho este programa no es bobo!. Que dicen, arrojo la toalla?
PD. No creo que sea el IsdebbuggerPresent a pesar de estar en la dll, digo porque todos esos plugins que se han ideado no funcionan y cuando digo todos son todoss.
Provaste con lo que te dije??? no para en acada importacion de la dll???
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
Aunque Solid creo que lo dejó claro. 1.- Analízalo con modo "M-B" en RDG Packer Detector. En caso de no detectar nada prueba con alguno alternativo. (más actualizado que el PEiD). 2.- Bájate la versión OllySND Portable que corre por ahí proque tiene el plugin "OllyAdvanced" y si es por ocultarlo creo que lo hará. 3.- ¿Que quieres hacer exactamente que no se pueda atacheando?
Salu2...
|
|
|
En línea
|
|
|
|
cucay
Desconectado
Mensajes: 9
|
Gracias de verdad por la colaboración. Me he encontrado con algo sorprendente gracias a sus recomendaciones. Quedé perplejo. Según el RDG, aparece protegido por una Hasp dongle. Será posible!. Pero si usa sistema de licencias flexl sin llave. Pero no puede ser el problema ahí. Tengo otro exe del mismo programa que si puedo correr en olly y que el RDG dice lo mismo. Solo que este no usa la dll. Este soft es del 2005. Uhmmm!
Chequeé la dll. Sacó algo interesante. Mencionó la compresion aPLib más el IsDebbuggerPresent. Creo que por ahí puede estar la cosa... pero raro que los plugines no lo oculten.
En resumen. Tengo un programa exe que ni siquiera lo puedo CARGAR en olly porque no ha pasado un nanosegundo cuando saca el letrero que no encuentra dll y manda una excepcion que no es manejable. La Memoria (M) aparece vacía y la stack (K) sin rastro, el Encabezado vuelto un desastre.
Y si abro el soft y le doy attach me manda directo a una excepción sin dejar rastro en el stack (K).
He chequeado el exe en file inspector y me muestra las fxns sin problema, osea que la tabla IAT no debe estar tan mala. También en modo pasivo he chequeado el PE en olly entrada por entrada y parece estar bien. Solo el Checksum no concuerda. Uhm!
Uhm!! Veremos!
PD.
- Si probé bp en cada dll y en cada thread y varias opciones todo eso pero no funcionó.
- Probaré el olly SNDlite cuando lo pueda bajar. Había probado el que no es lite, impresionante, pero no funcionó.
|
|
« Última modificación: 2 Noviembre 2008, 11:20 am por cucay »
|
En línea
|
|
|
|
KJD
Desconectado
Mensajes: 314
|
Intenta primero sacar las protecciones de esa libreria, el aPLib y el isdebuggerpresent, talvez por eso no carga en olly.
Intentaste meter esa dll en la carpeta del olly??? suena raro pero.......
|
|
« Última modificación: 2 Noviembre 2008, 14:59 pm por KJD »
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
Bueno, por pasos porque no me aclaro del todo. La librería tiene los 2 contratiempos. - Algoritmo aPLiB. - IsDebuggerPresent.
El 1º no creo que te dé ningún problema porque es un algoritmo estándar de compresión. aPLib v0.44 - compression library
Copyright © 1998-2008 by Jørgen Ibsen. All Rights Reserved.
aPLib is a 32-bit compression library based on the compression algorithm used in aPACK (my executable compressor). aPLib is an easy-to-use alternative to many of the heavy-weight compression libraries available.
The compression ratios achieved by aPLib combined with the speed and tiny footprint of the depackers (as low as 169 bytes!) makes it the ideal choice for many products.
Since the first public release in 1998, aPLib has been one of the top pure LZ-based compression libraries available. It is used in a wide range of products including executable compression and protection software, archivers, games, embedded systems, and handheld devices.
aPLib works with most compilers / linkers, e.g.:
En cuanto a IsDebuggerPresent, tampoco creo que sea problema, he IsDebuggerPresent o simeplemente vas a "7ffdf002", (suele ser esa dirección..), y lo pones a 00 antes de arrancar. Ahora lo de la mochila, puede llevar HASP sin necesidad de necesitar una llave "USB" física. Ahora a ver si me aclaras lo de la librería, ¿cuando lo abres con OllyDBG te dice que no la encuentra? Salu2..
|
|
|
En línea
|
|
|
|
cucay
Desconectado
Mensajes: 9
|
Hola. Disculpen la tardanza pero no había visto que esto había continuado.
-A ver. Intenté copiar la dll a la carpeta del olly y nada.
-Si hombre, el mensaje aparece de entrada. Le doy abrir al exe y aparece el mensaje de dll not found y la excepción es inpasable por más que le de shift algo. Ojo ni siquiera le he dado F9. No tengo chance.. No lo carga!
-Lo de la hasp no se puede descartar del todo aunque como dije, es raro que a pesar de tener otros exes con la misma protección este sea el único que no se deja ni siquier ABRIR.
- Chequeé una versión anterior del soft y encontré que este usaba otra librería, digamos una versión anterior. El programa este packer detector no le detectó nada.... Sin embargo el problema persiste.
La verdad que esta protección te para de entrada y para los novatos es fatal.
|
|
|
En línea
|
|
|
|
KJD
Desconectado
Mensajes: 314
|
No creo que sea el hasp, ya que primero tiene que cargar el programa para luego verificar la mochila.
Pon un screen del log que te pone olly a ver que dice.
No se que olly estaras usando, pero prueva con el OllyShadow que tiene varios plugins para ocultarlo herramientas que testean si estas realmente oculto, tambien descarga el OllySND (funciona solo en xp) este es mas "poderoso" que el anterior. (Ambos los tienes en el post Herramientas).
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
cucay
Desconectado
Mensajes: 9
|
Bueno, esta es la parte interesante del log.
New process with ID 00000AB4 created 005F593A Main thread with ID 00000C7C created 7C97478E Exception C0000135 (DLL NOT FOUND) Installing the hook... Hey I can't find the dll ! Try to do F7/F8/F9 and Plugins> SEH Hooker> Force to hook IsDebugPresent hidden Remove-RtlNtGlobalFlags Remove-ForceFlags
Ya probé esa versión y la pequena, obviamente con todos esos plugins trabajando y nada.
Raro ahh!. Casi paranormal. Está de concurso. El crackme del mes!! jeje. Aunque creo que resultará algo trivial
|
|
|
En línea
|
|
|
|
KJD
Desconectado
Mensajes: 314
|
Pues la verdad si, es bastante interesante, para hacer un tuto si resulta jejej.
Antes de empezar, en que sistema operativo estas?? me supongo que xp.
Por el log, me parece alguna proteccion anti debug, porque el hilo principal se crea, solo que despues muere.
Si te descargaste el OLLYsnd, fijate en la carpeta \Tools\HideToolz hay un programa llamado HideToolz, intenta ocultar el olly antes de empezar a debugear.
Si no funciona, carga esta DLL en olly, y fijate si encontras el issdebugerpresent y anulalo.
Saludos.
|
|
|
En línea
|
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"
"Keyboard not Found, press F1 To Continue" WTF???
|
|
|
|
|