elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Desempacar PECompact 1.68-1.84 de una DLL
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 [2] 3 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: Desempacar PECompact 1.68-1.84 de una DLL  (Leído 26,994 veces)
tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: OneWay.dll
« Respuesta #10 en: 16 Noviembre 2010, 04:17 am »

te pones encima del salto y ahí haces
clic derecho del mouse y le das a
follow in dump, y elegís Memory Addres.

El ESP solo lo usas cuando buscas el oep por el metodo del pushad/popad,
que consiste en pasar el pushad, y luego haces follow al registro ESP,
y te lo visualiza en la ventana del dump, ahi le pones un HBP de acceso al dword,
y das run, deberia caer justo despues del popad.

slds
En línea

fperea

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: OneWay.dll
« Respuesta #11 en: 16 Noviembre 2010, 05:10 am »

La aplicacion sigue dando error '48' en tiempo de ejecución: no se ha encontrado el archivo OneWay
Con el archivo dll desempacado funciona?
Otra cosa, que versión de OllyDbg estás usando? Intenté con la 2.0 pero al parecer tiene problemas al cargar DLL's...
En línea

fperea

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: OneWay.dll
« Respuesta #12 en: 16 Noviembre 2010, 06:07 am »

Tena,

Como obtuviste la imagen base 3A0000? Yo tengo 300000
Revisando cuidadosamente el problema creo que esta en la API. En OllyDbg al realizar la busqueda de las API's solo aparecen unas pocas call de OneWay.
En línea

tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: OneWay.dll
« Respuesta #13 en: 16 Noviembre 2010, 16:01 pm »

Tena,

Como obtuviste la imagen base 3A0000? Yo tengo 300000
Revisando cuidadosamente el problema creo que esta en la API. En OllyDbg al realizar la busqueda de las API's solo aparecen unas pocas call de OneWay.

Es la imagen base que me dio cuando cargue la dll directamente en el olly.



Pero si cargo el progui en el olly obtengo otra imagen base de la dll



Restando el oep . la imagen base da el mismo resultado, asi que no hay problem.

Aqui te dejo una imagen del programa corriendo con la dll desempacada

En línea

tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: OneWay.dll
« Respuesta #14 en: 16 Noviembre 2010, 16:15 pm »

La aplicacion sigue dando error '48' en tiempo de ejecución: no se ha encontrado el archivo OneWay
Con el archivo dll desempacado funciona?
Otra cosa, que versión de OllyDbg estás usando? Intenté con la 2.0 pero al parecer tiene problemas al cargar DLL's...

Si funciona... tenes que meterlo en la carpeta del programa.
A lo mejor este mal renombrado, tenes que ponerle el nombre original de la dll, lo abris con LordPE te vas a expor table y ahi sale el nombre.

Otra pues ya no se ¿la dll empacada te funciona?
En línea

tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: OneWay.dll
« Respuesta #15 en: 16 Noviembre 2010, 16:20 pm »

Tena,

Como obtuviste la imagen base 3A0000? Yo tengo 300000
Revisando cuidadosamente el problema creo que esta en la API. En OllyDbg al realizar la busqueda de las API's solo aparecen unas pocas call de OneWay.


Llegas al oep y te fijas en el memory map cual es..

En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.513


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: OneWay.dll
« Respuesta #16 en: 16 Noviembre 2010, 19:04 pm »

De todas formas, parece que la proteccion es mas que PECompact.

Tena, probaste hacerle click sobre Registrese con la desempacada? Mira que la DLL la carga solamente cuando la usa, no antes...

@fperea: El programa es un VB 6 sin empacar, con lo que puedes parchearlo comodamente y luego hacer un patcher con dup2, o lo que mas te guste. No es necesario parchear la DLL...  :P

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: OneWay.dll
« Respuesta #17 en: 17 Noviembre 2010, 03:51 am »

Si ya lo probe y si funciona, adentro y fuera del ollydbg con el ollyadvanced.

Ahora probe monitorearlo con TracePlus, y ahi si me salta el error 48 que no encuentra la dll ¿?

Voy a mirar de porque  sale ese error cuando lo monitoreo.

Pero afuera si funciona bien.

slds
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.513


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: OneWay.dll
« Respuesta #18 en: 17 Noviembre 2010, 17:09 pm »

OK. De todas formas ya la tengo dumped y funcionando perfectamente (tuve que corregirle la ImageBase para que no joda)

Lastima que IDR no la levante, pero IDA la analiza igual.

Creo que lo mejor es parchear el EXE. Por lo que estuve mirando, es medio jodido sacarle un keygen (por el Rijndael).

Pero bueno.. nada es imposible  ;D

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

fperea

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: OneWay.dll
« Respuesta #19 en: 17 Noviembre 2010, 18:41 pm »


@fperea: El programa es un VB 6 sin empacar, con lo que puedes parchearlo comodamente y luego hacer un patcher con dup2, o lo que mas te guste. No es necesario parchear la DLL...  :P

Saludos!
Yo creo que lo interesante es cambiar la DLL. Ese software de protección lo utilizan muchos programas. Ya había como en el 2000 o 2004 una version de esta dll que tenía un parche:
hxxp://cracksguru.com/data/Funcrd_Card_Games_v3.00_crack_by_ELiMiNATION-bee021aae6.html
Ese crack parchaba la DLL. Lo probé pero, obviamente no funciona.
Aunque para mi por ahora parchar el programa sería la solución...
« Última modificación: 19 Noviembre 2010, 20:08 pm por fperea » En línea

Páginas: 1 [2] 3 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Tutorial]PECompact Desempakar a Mano y Conseguir el serial
Ingeniería Inversa
chEEtos 4 5,497 Último mensaje 23 Agosto 2017, 16:00 pm
por LadyLilian
Problema con Pecompact 2.x - IAT
Ingeniería Inversa
jEUDi17 5 4,056 Último mensaje 31 Agosto 2012, 22:21 pm
por apuromafo CLS
Desempacar L2.exe
Ingeniería Inversa
canciani 1 3,246 Último mensaje 1 Mayo 2014, 03:50 am
por .:UND3R:.
HELP = Desempacar PC Guard 5.01
Ingeniería Inversa
zilox 8 9,028 Último mensaje 1 Septiembre 2014, 18:17 pm
por MCKSys Argentina
desempacar una aplicacion exe
Ingeniería Inversa
ironkid25 6 3,898 Último mensaje 19 Enero 2016, 23:36 pm
por apuromafo CLS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines