 Autor
|
Tema: Desempacar PECompact 1.68-1.84 de una DLL (Leído 27,079 veces)
|
tena
 Desconectado
Mensajes: 668
|
te pones encima del salto y ahí haces
clic derecho del mouse y le das a
follow in dump, y elegís Memory Addres.
El ESP solo lo usas cuando buscas el oep por el metodo del pushad/popad,
que consiste en pasar el pushad, y luego haces follow al registro ESP,
y te lo visualiza en la ventana del dump, ahi le pones un HBP de acceso al dword,
y das run, deberia caer justo despues del popad.
slds
|
|
|
|
|
En línea
|
|
|
|
fperea
Desconectado
Mensajes: 17
|
La aplicacion sigue dando error '48' en tiempo de ejecución: no se ha encontrado el archivo OneWay
Con el archivo dll desempacado funciona?
Otra cosa, que versión de OllyDbg estás usando? Intenté con la 2.0 pero al parecer tiene problemas al cargar DLL's...
|
|
|
|
|
En línea
|
|
|
|
fperea
Desconectado
Mensajes: 17
|
Tena,
Como obtuviste la imagen base 3A0000? Yo tengo 300000
Revisando cuidadosamente el problema creo que esta en la API. En OllyDbg al realizar la busqueda de las API's solo aparecen unas pocas call de OneWay.
|
|
|
|
|
En línea
|
|
|
|
tena
Desconectado
Mensajes: 668
|
Tena,
Como obtuviste la imagen base 3A0000? Yo tengo 300000
Revisando cuidadosamente el problema creo que esta en la API. En OllyDbg al realizar la busqueda de las API's solo aparecen unas pocas call de OneWay.
Es la imagen base que me dio cuando cargue la dll directamente en el olly.  Pero si cargo el progui en el olly obtengo otra imagen base de la dll  Restando el oep . la imagen base da el mismo resultado, asi que no hay problem. Aqui te dejo una imagen del programa corriendo con la dll desempacada 
|
|
|
|
|
En línea
|
|
|
|
tena
Desconectado
Mensajes: 668
|
La aplicacion sigue dando error '48' en tiempo de ejecución: no se ha encontrado el archivo OneWay
Con el archivo dll desempacado funciona?
Otra cosa, que versión de OllyDbg estás usando? Intenté con la 2.0 pero al parecer tiene problemas al cargar DLL's...
Si funciona... tenes que meterlo en la carpeta del programa. A lo mejor este mal renombrado, tenes que ponerle el nombre original de la dll, lo abris con LordPE te vas a expor table y ahi sale el nombre. Otra pues ya no se ¿la dll empacada te funciona?
|
|
|
|
|
En línea
|
|
|
|
tena
Desconectado
Mensajes: 668
|
Tena,
Como obtuviste la imagen base 3A0000? Yo tengo 300000
Revisando cuidadosamente el problema creo que esta en la API. En OllyDbg al realizar la busqueda de las API's solo aparecen unas pocas call de OneWay.
Llegas al oep y te fijas en el memory map cual es.. 
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
De todas formas, parece que la proteccion es mas que PECompact. Tena, probaste hacerle click sobre Registrese con la desempacada? Mira que la DLL la carga solamente cuando la usa, no antes... @fperea: El programa es un VB 6 sin empacar, con lo que puedes parchearlo comodamente y luego hacer un patcher con dup2, o lo que mas te guste. No es necesario parchear la DLL...  Saludos! |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
tena
Desconectado
Mensajes: 668
|
Si ya lo probe y si funciona, adentro y fuera del ollydbg con el ollyadvanced.
Ahora probe monitorearlo con TracePlus, y ahi si me salta el error 48 que no encuentra la dll ¿?
Voy a mirar de porque sale ese error cuando lo monitoreo.
Pero afuera si funciona bien.
slds
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
OK. De todas formas ya la tengo dumped y funcionando perfectamente (tuve que corregirle la ImageBase para que no joda) Lastima que IDR no la levante, pero IDA la analiza igual. Creo que lo mejor es parchear el EXE. Por lo que estuve mirando, es medio jodido sacarle un keygen (por el Rijndael). Pero bueno.. nada es imposible  Saludos! |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
fperea
Desconectado
Mensajes: 17
|
@fperea: El programa es un VB 6 sin empacar, con lo que puedes parchearlo comodamente y luego hacer un patcher con dup2, o lo que mas te guste. No es necesario parchear la DLL... Saludos! Yo creo que lo interesante es cambiar la DLL. Ese software de protección lo utilizan muchos programas. Ya había como en el 2000 o 2004 una version de esta dll que tenía un parche: hxxp://cracksguru.com/data/Funcrd_Card_Games_v3.00_crack_by_ELiMiNATION-bee021aae6.html Ese crack parchaba la DLL. Lo probé pero, obviamente no funciona. Aunque para mi por ahora parchar el programa sería la solución...
|
|
|
|
« Última modificación: 19 Noviembre 2010, 20:08 pm por fperea »
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
[Tutorial]PECompact Desempakar a Mano y Conseguir el serial
Ingeniería Inversa
|
chEEtos
|
4
|
5,515
|
23 Agosto 2017, 16:00 pm
por LadyLilian
|
|
|
|
Problema con Pecompact 2.x - IAT
Ingeniería Inversa
|
jEUDi17
|
5
|
4,069
|
31 Agosto 2012, 22:21 pm
por apuromafo CLS
|
|
|
|
Desempacar L2.exe
Ingeniería Inversa
|
canciani
|
1
|
3,258
|
1 Mayo 2014, 03:50 am
por .:UND3R:.
|
|
|
|
HELP = Desempacar PC Guard 5.01
Ingeniería Inversa
|
zilox
|
8
|
9,055
|
1 Septiembre 2014, 18:17 pm
por MCKSys Argentina
|
|
|
|
desempacar una aplicacion exe
Ingeniería Inversa
|
ironkid25
|
6
|
3,908
|
19 Enero 2016, 23:36 pm
por apuromafo CLS
|
 |
