 Autor
|
Tema: Desempaquetar Molebox 2.5.7... (Leído 16,174 veces)
|
Puyover
 Desconectado
Mensajes: 9
Overflowed ~
|
Buenas! Estoy intentado desempaquetar un exe, pero no logro dar con el fin de la IAT. La versión de Molebox con el que se ha empaquetado el exe la he obtenido con el RDG Packer Detector y es MoleBox 2.5.7. Aquí dejo una captura del Olly con el OEP y el inicio de lo que creo es el IAT:  (Link del Exe a desempaquetar: Aquí) Supongo que el inicio del IAT es donde muestra la imágen pero... el fin? Y lo de restarle a la OEP la Image Base no me funciona en el Import Reconstructor ya que me dice que no hay "nada" en ese punto... En definitiva que no logro encontrar la IAT y no se si el OEP que he obtenido es el correcto... Aquí os dejo los datos que llevo obtenidos: EP -----> 00 3B 6B 33
OEP -----> 00 42 C6 90
Image Base -----> 00 40 00 00
Size of Image --> 00 3D 00 00
Inicio de la IAT -> 00 7B 6B 2B
Fin del IAT ------> ?? ?? ?? ?? Agradecería cualquier ayuda ya que ando un poco perdido en este tema  Salu2!! |
|
|
|
|
En línea
|
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
la verdad q no tiene pinta de oep, deberias mirar en el memory map a q parte del codigo apunta la dirección q te figura como oep, y el molebox trae aparte 1 o 2 archivos q crea en el directorio temporal y q son dll q tambien hay q sacar.
|
|
|
|
|
En línea
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
me olvide!!! tambien seria bueno (me parece) q cambies la vista en el dump a long address, así es más facil seguir la iat
|
|
|
|
|
En línea
|
|
|
|
Puyover
Desconectado
Mensajes: 9
Overflowed ~
|
Vale, no tenía ni idea de que molebox empaquetaba también 2 dlls con el exe  Ahora entonces lo que tengo es un lio tremendo xDDD Voy a mirarme primero el manual este de "Desempacando 2 DLL's Molebox v2.5.7 por Neutrino" a ver que tal se da. Salu2!! |
|
|
|
|
En línea
|
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
|
|
|
Puyover
Desconectado
Mensajes: 9
Overflowed ~
|
Estoy empezando a dudar de si la protección es molebox... Se supone que debreía crear algún archivo temporal de nombre MBX@7A0@7C14B8.### (me lo he inventado, cambia en cada ejecución) o algo parecido... pero ni lo crea ni lo ejecuta... así que no tengo ni idea de que puede estar pasando...
Alguna ayuda?
|
|
|
|
|
En línea
|
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
|
|
|
|
karmany
|
A simple vista estoy con tincopasan: me parece que esa dirección no tiene pinta de ser el OEP. Es una dirección bastante alta y yo no reconozco ese oep, es como si estuviera todavía descomprimiendose.
Sobre Molebox hay muchos tutoriales, yo te recomiendo los hechos por Solid ya que hicieron muchos.
Molebox, por si no lo conoces, es un gran programa (para mí el mejor) para embeber librerías o archivos en el mismo ejecutable. Un programa con Molebox se descomprime y ejecuta las librerías en memoria sin necesidad de registrarlas. Con esto te quiero decir que tal vez necesites extraer determinadas librerías para que te funcione correctamente.
PD. Realmente Molebox es un programa excelente.
|
|
|
|
|
En línea
|
|
|
|
Puyover
Desconectado
Mensajes: 9
Overflowed ~
|
Me miraré los tutoriales de Solid, porque ya no sabía ni lo que hacer ni nada.
Cuando consiga algo lo postearé aquí.
Salu2!!
|
|
|
|
|
En línea
|
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
|
|
|
Puyover
Desconectado
Mensajes: 9
Overflowed ~
|
Bueno, ya he encontrado el OEP y el inicio y fin de la IAT. El problema ahora es que no consigo encontrar donde escribe valores valores malos el molebox :/
Aquí dejo los datos que llevo, a ver si me podéis echar una manita:
1. EP: 003B6B33 + 00400000 = 007B6B33
OEP: 00699EDA - 00400000 = 00299EDA
ImageBase: 00400000
SizeOfImage: 003D0000
Inicio de la IAT: 002B9000 + 00400000 = 006B9000
Fin de la IAT: 006B9000 + 0000065C = 006B965C
Tamaño de la IAT: 0000065C
2. Primera entrada mala: 006B90FC -> A4 44 7C 00 -> Blackout.007C44A4
3. Conditional Breakpoint en VirtualProtect cuando EAX = 006B90FC
Hasta el punto 3 he ido bien pero al llegar al BP condicional, veo que EAX toma esa dirección pero a partir de ahí no se que hacer...
Salu2!!
|
|
|
|
|
En línea
|
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
|
|
|
Puyover
Desconectado
Mensajes: 9
Overflowed ~
|
Vale, he encontrado la instrucción que sobreescribe las entradas, la NOPeo, me voy al import reconstructor y meto el oep. Le doy a Get Imports pero me sigue diciendo que hay entradas malas o.O
Como es eso si he arreglado la instrucción que las sobreescribía????
Y otra cosa, se supone que molebox crea algunas dlls pero es que lo he mirado de mil formas y no crea NADA, si acaso lo único que hace el juego es cargar otras dlls suyas pero que no tienen nada que ver con molebox :/
|
|
|
|
|
En línea
|
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.
|
|
|
tena
Desconectado
Mensajes: 668
|
Pegate la iat aqui a ver si vemos algo
slds
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Ayuda Por Favor Desempaquetar .exe de Molebox 2.5.7
Ingeniería Inversa
|
Blackhert
|
4
|
4,334
|
3 Agosto 2011, 04:32 am
por apuromafo CLS
|
|
|
|
Aplicacion con packer Molebox v2.3.x
Ingeniería Inversa
|
Tinkipinki
|
7
|
6,889
|
4 Diciembre 2011, 10:29 am
por Tinkipinki
|
|
|
|
Molebox
Ingeniería Inversa
|
Joker_Walker
|
3
|
3,149
|
30 Agosto 2012, 04:03 am
por Иōҳ
|
|
|
|
Desempaquetar .exe empaquetado con MOLEBOX
Ingeniería Inversa
|
kelly2014
|
2
|
3,608
|
2 Octubre 2012, 04:03 am
por apuromafo CLS
|
|
|
|
Molebox 2.5.7 desempaquetar archivo .exe con OllyDbg
Ingeniería Inversa
|
aqpvip
|
1
|
3,595
|
5 Mayo 2015, 19:39 pm
por MCKSys Argentina
|
 |
