 Autor
|
Tema: Por dónde ataco a este ASPROTECT... (Leído 4,116 veces)
|
|
karmany
|
Resulta que tengo un programa con ASPROTECT.
He leído bastantes tutoriales de cómo desempacarlo y alguna vez lo he hecho yo, pero este programa tiene la curiosidad de que al ejecutarlo empieza y acaba... me explico, cuando se ejecuta lo único que hace es crear una clave en el registro y termina..
Por lo tanto no puedo hacer nada porque cuando lo pongo en el Olly y paso las excepciones el programa termina..
Alguien que sepa me puede dar algún consejo...
Muchas gracias...
|
|
|
|
|
En línea
|
|
|
|
tena
 Desconectado
Mensajes: 668
|
A lo mejor esta forma te sirva:
Cuando cargues el exe en el olly, haces alt+M y fijate el address de la sección de code y el tamaño y restale mil. Por ejemplo: 00401000+001BC000-1000. te vas a esta direccion y pones un bpm on acces, apretas run y caes donde se escribe, otra vez run y caemos donde se lee, eliminamos el bpm y nops vamos bien para abajo hasta un retn y ponemos un bpx, apreta run y fijate en los valores que toma EDI, cuando tome un valor cercano al tamaño de la sección de codigo, tambien te podes fijar creo que en ebx que es un contador que se va decrementando. Ok, cuando tome este valor cercano ahora si le pones un set memory breakpoint on acces a la sección de codigo. Presionas run y caes en el oep, sino es asi, seguis con f7 y vas a parar en la zona asprotect, f9 y volveras a sección code, por ahi cerca esta el oep.
PD: En las opciones de olly tendras que activar todas las excepciones antes de hacer todo esto.
|
|
|
|
|
En línea
|
|
|
|
|
karmany
|
Hice lo que me dijiste.. me detectó el debugger así que volví otra vez de cero y le puse el plugin.
LLegué hasta ponerle un bpm al ret que me has dicho, pero es curioso a partir de ahí pasé la primera excepción y me salió una ventana muy curiosa que me indicaba mi windows y un montón de letras sin sentido. Pulso en OK de esa ventana y el programa se termina...
De todos modos muchas gracias por tu ayuda..
|
|
|
|
|
En línea
|
|
|
|
4rS3NI(
Desconectado
Mensajes: 75
FraGa... keep growing
|
Buenas
Qué programa es? Sin meterle mano con nada raro, corre normalmente?
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
karmany
|
La verdad es que yo ya he desistido con esta aplicación, porque mi conocimiento es muy limitado. Os dejo un link por si alguien quiere enseñarme a quitar el ASPROTECT a este programa. La aplicación solamente ocupa 124 Kb, y por lo que he intentado comprender lo que hace es leer datos de algún sitio del disco duro y crear o modificar una clave en el registro. Esta aplicación es llamada por otro programa... Agradezco tu interés..4rS3NI( DescargarHay que seleccionar en free y después poner los números y letras que están en colores en el recuadro.. Si no funciona el link subiré de nuevo el archivo Gracias |
|
|
|
« Última modificación: 17 Diciembre 2005, 20:18 pm por karmany »
|
En línea
|
|
|
|
tena
Desconectado
Mensajes: 668
|
Hola Karmany, he bajado la aplicacion, le di un vistazo con el olly y el resultado fue el siguiente:
Al llegar a la excepcion 34 se termina ya que no hace nada.
Reinicio y llego a la 33, alt+M bpm de acceso a la sección code y run. Caigo en el oep, el mismo que me decia el PeiD, dumpeo. Ahora como no lo puedo mantener abierta la aplicacion para atachearla con el Impert Reconstructor, la dejo en el oep en el olly y atacheo ese proceso. Arreglo la iat, cargando los datos que saque del olly inicio y tamaño de la iat. Ahora el problema es que si lo ejecuto no anda, me dice un error, asi que cargo el dump.exe en olly y me fijo donde se produce dichor error, que comparandolo con el original me doy cuenta de que quiere acceder a una zona de asprotect , si lo nopeo no me anda lo mismo, y ahi me quede....Injerte lo q1ue me decia en el original que era un poquito y nada mas, pero luego se produce otro error igual... awsi que me canse y me di por vencido
Hasta luego
|
|
|
|
|
En línea
|
|
|
|
|
karmany
|
Gracias por tu ayuda tena..
Mi interés por esta aplicación es por lo siguiente:
Se trata de un programa de grabación. Este programa lo instalé un 12 de noviembre. Antes de instalarlo y ejecutarlo la primera vez, utilicé un programa para saber qué archivos modifica en el DD y también las claves en el registro.
Pues el problema es que recuerda siempre ese 12 de nov. y lo he desinstalado, he borrado todos los archivos y todas las entradas del registro que creó, e impresionante, recuerda el maldito 12 de nov.
Harto (de verdad harto) ya de investigar con el Olly, descubrí por fin que la aplicación ésta que he puesto en descarga es llamada por el programa de grabación y es la que busca en algún sitio ese 12 de nov., luego hace sus cálculos de días en uso del programa, también mira que no se haya retrasado la fecha desde windows etc... y finalmente crea una clave en el registro.
Para tena: como has ejecutado la aplicación te lo digo por si quieres borrar la clave que te habrá creado en el registro:
esta aplicación crea en:
HKEY_USERS\S-1-5-21-842925246-1383384898-725345543-1003\Software
y en:
HKEY_CURRENT_USER\Software
una clave llamada ASProtect
Gracias de nuevo..
|
|
|
|
|
En línea
|
|
|
|
tena
Desconectado
Mensajes: 668
|
gracias por la info de las claves, igual tambien uso una herramienta "Trial-Reset 3.0 beta 1" que lo vi en el foro, que se encarga de buscar y borrar todas claves de asprotect y de muchos otros como armadillo, vbox, etc, es muy bueno, te vuelve a cero el limite de tiempo.
|
|
|
|
|
En línea
|
|
|
|
|
 |
