 Autor
|
Tema: Desempacar PECompact 1.68-1.84 de una DLL (Leído 27,081 veces)
|
tena
 Desconectado
Mensajes: 668
|
Al parecer el culpable es el programa y no la dll, ya que justo antes de llegar al EP de la libreria me crea una sección de tamaño 4000 justo donde deberia ponerse la dll, y eso causa que despues la dll crashea. Si abro la dll de MckSys en el ollydbg, y le doy run veremos que se carga perfectamente.  Aqui vemos donde crashea cargandola desde el programa.  si el programa la hubiera colocado en 010A0000 pues esa direccion estaria dentro del exe. |
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
El problema es la ImageBase. Al momento de dumpear, la ImageBase que tenga la DLL es la que hay que poner en el PE Header. Con eso deberia bastar, a menos que se cargue en otra direccion, con lo que nos jode la vida. Para arreglar eso, ya hay que meterse con la Relocation Table. Hacer un script que levante todas las referencias a la sección data/code (excepto jumps) y meterlas en el directorio de Relocacion... Es la otra alternativa que veo...  |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
tena
Desconectado
Mensajes: 668
|
Bueno al final parche a la dll empacada.
aver si funciona en otra pcra.
después haré un tute para mostrar los pasos que realice.
Modificado: Borre el link a la dll
tratare de hacer un tutorial estos dias.
slds
|
|
|
|
« Última modificación: 19 Noviembre 2010, 15:22 pm por tena »
|
En línea
|
|
|
|
fperea
Desconectado
Mensajes: 17
|
Hey!!!
Esta si funciona bien!! Gracias! Pero me quedo con muchas dudas. Corriendo en Olly EvalAs con Olly configurado para omitir Excepciones y con un BRK en nuevas DLL
tengo que la Imagebase es 11110000. Esta es la imagen que se debería poner en LordPE?
Espero el tute para repetir el proceso localmente!!!!
Muchas gracias
|
|
|
|
|
En línea
|
|
|
|
tena
Desconectado
Mensajes: 668
|
La podes ver en el memory map, en el modulo que se esta ejecutando. LordPe e ImporteRec tambien te la muestran.  |
|
|
|
|
En línea
|
|
|
|
fperea
Desconectado
Mensajes: 17
|
Tena,
Estuve probando la aplicación. Existen dos tipos de licencias: Una estándard y la otra MonteCarlo. La última permite realziar simulaciones de MonteCarlo para probar variaciones de valores. Esa licencia no está activa. Habría que revisar...
La DLL que permite registrar está empacada con PECompact otra vez. Es necesario Reempacarla? No se puede usar desempacada?
Tal vez el error 48 se deba a que no está empacada la DLL y la aplicación solo funcione con la DLL empacada. Esas son las diferencias entre las anteriores DLL y esta nueva que si funciona. Voy a revisar y les cuento...
Gracias
|
|
|
|
|
En línea
|
|
|
|
fperea
Desconectado
Mensajes: 17
|
Ahhh! Le cambié el nombre al tema: Se llama ahora Desempacar PECompact 1.68-1.84 de una DLL y edité algunos post que contenían información que no es relevante publicar...  |
|
|
|
|
En línea
|
|
|
|
tena
Desconectado
Mensajes: 668
|
Tena,
Estuve probando la aplicación. Existen dos tipos de licencias: Una estándard y la otra MonteCarlo. La última permite realziar simulaciones de MonteCarlo para probar variaciones de valores. Esa licencia no está activa. Habría que revisar...
La DLL que permite registrar está empacada con PECompact otra vez. Es necesario Reempacarla? No se puede usar desempacada?
Tal vez el error 48 se deba a que no está empacada la DLL y la aplicación solo funcione con la DLL empacada. Esas son las diferencias entre las anteriores DLL y esta nueva que si funciona. Voy a revisar y les cuento...
Gracias
A esa no la desempaque, solo le parche la comparacion donde comprobaba la integridad del archivo, y la redirigi a una zona vacia, y ahi meti un injerto que parchase donde sea necesario, ya que en ese punto la dll ya esta desempacada completamente en memoria.
|
|
|
|
|
En línea
|
|
|
|
tena
Desconectado
Mensajes: 668
|
|
|
|
|
|
En línea
|
|
|
|
henryxs87
Desconectado
Mensajes: 15
|
Aunque no estoy interesado para nada en el programa de fperea, resulta interesante la metodología que usaste para desempacar esa DLL Y lo de diseñar una medicina para el programa me sirve de cultura general Ahhh! Le cambié el nombre al tema: Se llama ahora Desempacar PECompact 1.68-1.84 de una DLL y edité algunos post que contenían información que no es relevante publicar... Fprea no creo que haya sido bueno borrar el enlace para descargar el programa, porque el tutorial esta basado en el Ev4ls.1_3 Si quieres sube el programa a mediafire o megaupload con otro nombre si es eso lo que te preocupa y todo eso para que el tute sea completo Editado: aqui esta todo el material del post PDF, DLL, Setup.EXE http://www.mediafire.com/?q0cx45xud5ztxa4 junto con el programa Aqui esta el programa Topo v1.2 http://www.4shared.com/file/72263364/4fecbcc6/Topo_12.htmlGracias a MCKSys y especial a tena por la especial dedicación al tema, aunque la ayuda no sea para mi Saludos!!!
|
|
|
|
« Última modificación: 20 Noviembre 2010, 14:33 pm por henryxs87 »
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
[Tutorial]PECompact Desempakar a Mano y Conseguir el serial
Ingeniería Inversa
|
chEEtos
|
4
|
5,515
|
23 Agosto 2017, 16:00 pm
por LadyLilian
|
|
|
|
Problema con Pecompact 2.x - IAT
Ingeniería Inversa
|
jEUDi17
|
5
|
4,069
|
31 Agosto 2012, 22:21 pm
por apuromafo CLS
|
|
|
|
Desempacar L2.exe
Ingeniería Inversa
|
canciani
|
1
|
3,258
|
1 Mayo 2014, 03:50 am
por .:UND3R:.
|
|
|
|
HELP = Desempacar PC Guard 5.01
Ingeniería Inversa
|
zilox
|
8
|
9,055
|
1 Septiembre 2014, 18:17 pm
por MCKSys Argentina
|
|
|
|
desempacar una aplicacion exe
Ingeniería Inversa
|
ironkid25
|
6
|
3,908
|
19 Enero 2016, 23:36 pm
por apuromafo CLS
|
 |
