elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Desempaquetar Molebox 2.5.7...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Desempaquetar Molebox 2.5.7...  (Leído 16,156 veces)
Puyover

Desconectado Desconectado

Mensajes: 9


Overflowed ~


Ver Perfil WWW
Desempaquetar Molebox 2.5.7...
« en: 24 Junio 2009, 00:46 am »

Buenas!

Estoy intentado desempaquetar un exe, pero no logro dar con el fin de la IAT.
La versión de Molebox con el que se ha empaquetado el exe la he obtenido con el RDG Packer Detector y es MoleBox 2.5.7.

Aquí dejo una captura del Olly con el OEP y el inicio de lo que creo es el IAT:



(Link del Exe a desempaquetar: Aquí)

Supongo que el inicio del IAT es donde muestra la imágen pero... el fin?
Y lo de restarle a la OEP la Image Base no me funciona en el Import Reconstructor ya que me dice que no hay "nada" en ese punto...

En definitiva que no logro encontrar la IAT y no se si el OEP que he obtenido es el correcto...

Aquí os dejo los datos que llevo obtenidos:

Código:
EP           ----->  00 3B 6B 33
OEP          ----->  00 42 C6 90

Image Base   ----->  00 40 00 00
Size of Image   -->  00 3D 00 00

Inicio de la IAT ->  00 7B 6B 2B
Fin del IAT ------>  ?? ?? ?? ??

Agradecería cualquier ayuda ya que ando un poco perdido en este tema :huh:

Salu2!!
En línea

"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: Desempaquetar Molebox 2.5.7...
« Respuesta #1 en: 24 Junio 2009, 06:39 am »

la verdad q no tiene pinta de oep, deberias mirar en el memory map a q parte del codigo apunta la dirección q te figura como oep, y el molebox trae aparte 1 o 2 archivos q crea en el directorio temporal y q son dll q tambien hay q sacar.
En línea

tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: Desempaquetar Molebox 2.5.7...
« Respuesta #2 en: 24 Junio 2009, 09:12 am »

me olvide!!! tambien seria bueno (me parece) q cambies la vista en el dump a long address, así es más facil seguir la iat
En línea

Puyover

Desconectado Desconectado

Mensajes: 9


Overflowed ~


Ver Perfil WWW
Re: Desempaquetar Molebox 2.5.7...
« Respuesta #3 en: 24 Junio 2009, 16:26 pm »

Vale, no tenía ni idea de que molebox empaquetaba también 2 dlls con el exe :-\
Ahora entonces lo que tengo es un lio tremendo xDDD
Voy a mirarme primero el manual este de "Desempacando 2 DLL's Molebox v2.5.7 por Neutrino" a ver que tal se da.

Salu2!!
En línea

"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
Puyover

Desconectado Desconectado

Mensajes: 9


Overflowed ~


Ver Perfil WWW
Re: Desempaquetar Molebox 2.5.7...
« Respuesta #4 en: 24 Junio 2009, 19:23 pm »

Estoy empezando a dudar de si la protección es molebox... Se supone que debreía crear algún archivo temporal de nombre MBX@7A0@7C14B8.### (me lo he inventado, cambia en cada ejecución) o algo parecido... pero ni lo crea ni lo ejecuta... así que no tengo ni idea de que puede estar pasando...

Alguna ayuda?
En línea

"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
karmany
Moderador
***
Desconectado Desconectado

Mensajes: 1.614


Sueñas que sueñas


Ver Perfil WWW
Re: Desempaquetar Molebox 2.5.7...
« Respuesta #5 en: 24 Junio 2009, 21:22 pm »

A simple vista estoy con tincopasan: me parece que esa dirección no tiene pinta de ser el OEP. Es una dirección bastante alta y yo no reconozco ese oep, es como si estuviera todavía descomprimiendose.

Sobre Molebox hay muchos tutoriales, yo te recomiendo los hechos por Solid ya que hicieron muchos.

Molebox, por si no lo conoces, es un gran programa (para mí el mejor) para embeber librerías o archivos en el mismo ejecutable. Un programa con Molebox se descomprime y ejecuta las librerías en memoria sin necesidad de registrarlas. Con esto te quiero decir que tal vez necesites extraer determinadas librerías para que te funcione correctamente.

PD. Realmente Molebox es un programa excelente.
En línea

Puyover

Desconectado Desconectado

Mensajes: 9


Overflowed ~


Ver Perfil WWW
Re: Desempaquetar Molebox 2.5.7...
« Respuesta #6 en: 24 Junio 2009, 22:09 pm »

Me miraré los tutoriales de Solid, porque ya no sabía ni lo que hacer ni nada.

Cuando consiga algo lo postearé aquí.

Salu2!!
En línea

"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
Puyover

Desconectado Desconectado

Mensajes: 9


Overflowed ~


Ver Perfil WWW
Re: Desempaquetar Molebox 2.5.7...
« Respuesta #7 en: 26 Junio 2009, 00:34 am »

Bueno, ya he encontrado el OEP y el inicio y fin de la IAT. El problema ahora es que no consigo encontrar donde escribe valores valores malos el molebox :/

Aquí dejo los datos que llevo, a ver si me podéis echar una manita:

1. EP:  003B6B33 + 00400000 = 007B6B33
   OEP: 00699EDA - 00400000 = 00299EDA
   ImageBase: 00400000
   SizeOfImage: 003D0000
   Inicio de la IAT: 002B9000 + 00400000 = 006B9000
   Fin de la IAT:    006B9000 + 0000065C = 006B965C

   Tamaño de la IAT: 0000065C
2. Primera entrada mala: 006B90FC -> A4 44 7C 00 -> Blackout.007C44A4
3. Conditional Breakpoint en VirtualProtect cuando EAX = 006B90FC

Hasta el punto 3 he ido bien pero al llegar al BP condicional, veo que EAX toma esa dirección pero a partir de ahí no se que hacer...

Salu2!!
En línea

"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
Puyover

Desconectado Desconectado

Mensajes: 9


Overflowed ~


Ver Perfil WWW
Re: Desempaquetar Molebox 2.5.7...
« Respuesta #8 en: 26 Junio 2009, 17:07 pm »

Vale, he encontrado la instrucción que sobreescribe las entradas, la NOPeo, me voy al import reconstructor y meto el oep. Le doy a Get Imports pero me sigue diciendo que hay entradas malas o.O

Como es eso si he arreglado la instrucción que las sobreescribía????
Y otra cosa, se supone que molebox crea algunas dlls pero es que lo he mirado de mil formas y no crea NADA, si acaso lo único que hace el juego es cargar otras dlls suyas pero que no tienen nada que ver con molebox :/
En línea

"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: Desempaquetar Molebox 2.5.7...
« Respuesta #9 en: 27 Junio 2009, 00:54 am »

Pegate la iat aqui a ver si vemos algo

slds
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda Por Favor Desempaquetar .exe de Molebox 2.5.7
Ingeniería Inversa
Blackhert 4 4,325 Último mensaje 3 Agosto 2011, 04:32 am
por apuromafo CLS
Aplicacion con packer Molebox v2.3.x
Ingeniería Inversa
Tinkipinki 7 6,865 Último mensaje 4 Diciembre 2011, 10:29 am
por Tinkipinki
Molebox
Ingeniería Inversa
Joker_Walker 3 3,134 Último mensaje 30 Agosto 2012, 04:03 am
por Иōҳ
Desempaquetar .exe empaquetado con MOLEBOX
Ingeniería Inversa
kelly2014 2 3,591 Último mensaje 2 Octubre 2012, 04:03 am
por apuromafo CLS
Molebox 2.5.7 desempaquetar archivo .exe con OllyDbg
Ingeniería Inversa
aqpvip 1 3,561 Último mensaje 5 Mayo 2015, 19:39 pm
por MCKSys Argentina
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines