 Autor
|
Tema: En serio nadie puede ayudarme??? programa desempacado q se cierra en olly (Leído 6,626 veces)
|
manakagruya
 Desconectado
Mensajes: 22
|
estaba empacado con telock, lo desempaco y cuando lo ejecuto en olly se cierra, y el exe original (empacado) funciona bien, alguna idea??
|
|
|
|
|
En línea
|
|
|
|
Иōҳ
Desconectado
Mensajes: 563
|
Fuera del Olly corre bien?
Me refiero al desempacado...
Nox.
|
|
|
|
|
En línea
|
|
|
|
manakagruya
Desconectado
Mensajes: 22
|
Fuera del olly pasa exactax lo mismo q en olly, el exe original va bien, el desempacado (estaba empacado con telock y lo desempaque con VMUnpacker) y ha subido unos 3 megas de tamaño, se cierra, y me abre un monton de ventanas de mis documentos, a veces 2 o 3, otras veces entra en bucle y tengo q cerrar el programa para q pare de abrir mas ventanas. Igual q en olly, el original bien, el desempacado se cierra. He probado con HideOd, phantom, pero nada.
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Quizas lo que esta detectando es el desempacado y no el debugger...
|
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
manakagruya
Desconectado
Mensajes: 22
|
hola de nuevo, gracias eres el unico que aunque sin soluciones, ni ninguna teoria para poner en prueba me estas echando una mano.
Explicate por favor, porq no entiendo lo q quieres decir.
Por lo que veo es que SIN DESEMPACAR corre bien el programa tanto en olly como sin el, y una vez que LO DESEMPACO se cierra y me abre ventanas de MIS DOCUMENTOS tanto en olly como sin el.
Vale, vale.... lo entendi ahora mismo.
Entonces en caso de que el PROGRAMA DESEMPACO detecte que esta DESEMPACADO como hago para que el PROGRAMA DESEMPACADO no lo sepa, o no lo vea.
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Debes buscar el lugar donde hace los chequeos.
Si el chequeo lo hace contra el EXE original, puedes poner un BP en CreateFile y ver cuando se abre a si mismo. Desde ahi puedes tracear hasta el lugar del chequeo per-se.
Ahora, si hace el chequeo en memoria, es mas dificil de encontrarlo. Deberas tracear haci atras desde el punto donde hace todas esas "cosas raras" que has dicho.
Saludos!
|
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
probaría verificando el tamaño del archivo empacado, es decir le agregaría unos bytes para ver si funciona igual(comprobación de tamaño) y no aclaraste si el programa dumpeado le pusiste el mismo nombre (a veces hay comprobación de nombre) es lo más fácil que se me ocurre probar
|
|
|
|
|
En línea
|
|
|
|
manakagruya
Desconectado
Mensajes: 22
|
bueno, le cambie el nombre de unpacked por el nombre original, pero sigue igual, si pudiera dejarlo estable (el desempacado) podria usar el dede, el icr, el resource hacker,
El otro dia traceando encontre un serial, que probe y funciono (el programa abre archivos del nba 2k11, nba 2k12, mlb 2k11, nba 2k11 xbox360, y tiene dos opciones mas que quiere vender el tio tambien), vi q hacia una comprobacion con el mi nombre de usuario, y dos constantes mas... total hice unos calculos, Y FUNCIONO!!!!
Agradeceria ayuda para dejar estable el desempacado
|
|
|
|
|
En línea
|
|
|
|
Иōҳ
Desconectado
Mensajes: 563
|
has lo que te dice MCKSys Argentina  por ejemplo si es lo primero que él te dice y se te hace engorroso "bypassear" eso, puedes cambiar la ruta al del exe original... Saludos. |
|
|
|
« Última modificación: 10 Febrero 2012, 01:57 am por Иōҳ »
|
En línea
|
|
|
|
|
apuromafo CLS
|
se que nadie le importaba este tema, pero quiero revivirlo un poco aprovechando un privado de un usuario que me llegó
veamos las hazañas
1) estaba empacado con telock
2) luego de correr en runtime, desde el mismo EP, uno va a los 2 saltos tiene el oep
3) luego de reconstruir la iat (engorrosa iat tiene telock 1)
me puse mejor a buscar mis tools de unpacking y resultó, pero el oep estaba mal, asi que corregido, corre, por otro lado
abre unas 32 ventanas de mis documentos,
tiene a lo menos 2 forms de antidebug
1)la primera form ataca a los monitores, drivers y otros
2) la segunda form ataca a el Mutex (una variable que aparece buscando la ventana, si la encuentra da el error y te abre 30 o mas ventanas..
luego de vencida las 2 antidebug, hay que buscar como registrar, ahi voy...supongo que con ese paso de avance deberia ser suficiente demostrar que con un poco de ing inversa es posible resolverla...
saludos Apuromafo
pd:no sirve nada de createfileA, ni similar, estos tienen otra estrategia..(pillar el debugger y cerrar ventanas o fastidiar abriendo ventanas)
|
|
|
|
|
En línea
|
Apuromafo
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Exe desempacado de winlicense, pero arroja error, que puede ser?
Ingeniería Inversa
|
Fucko
|
4
|
5,038
|
26 Marzo 2011, 07:36 am
por apuromafo CLS
|
|
|
|
Colorear codigo en Olly.....se puede?
Ingeniería Inversa
|
Tinkipinki
|
4
|
3,084
|
14 Agosto 2011, 19:37 pm
por Tinkipinki
|
|
|
|
Es que nadie puede decirme un contador???
Dudas Generales
|
ryan26
|
6
|
3,772
|
20 Noviembre 2011, 22:35 pm
por 2Fac3R
|
|
|
|
ZwterminateProcess como evitarlo en olly con programa desempacado(telock)
Ingeniería Inversa
|
manakagruya
|
4
|
3,659
|
18 Diciembre 2013, 01:25 am
por apuromafo CLS
|
|
|
|
"Hasta que no haya una desgracia, nadie se tomará en serio el racismo en ...
Noticias
|
wolfbcn
|
1
|
2,366
|
29 Septiembre 2016, 03:24 am
por do-while
|
 |
