elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  [PROBLEMA] OLLYDBG, OLLYDUMP
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [PROBLEMA] OLLYDBG, OLLYDUMP  (Leído 4,475 veces)
Sadistski

Desconectado Desconectado

Mensajes: 18



Ver Perfil WWW
[PROBLEMA] OLLYDBG, OLLYDUMP
« en: 18 Enero 2017, 02:13 am »

Hola... estaba haciendo esta guía

http://ricardonarvaja/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1360-Desempacado%20de%20PECompact%202.5x%20-%202.7x%20por%20ZiKaTRiZ.rar

con el objetivo de desempacar una DLL comprimida con PECOMPACT....
hice todo bien, hasta que llegé al OEP.... use OLLYDUMP para intentar dumpear el contenido, cuando de repente me sale este mensaje

unable to read memory of debugged process y (004583494....898986) y BAD DOS SIGNATURE!! o algo asi..alguien sabe que esta mal? :(... busque en internet pero no encontre nada ....:/
« Última modificación: 18 Enero 2017, 02:16 am por Gringasho » En línea

La gente inteligente aprende de sus errores, la gente sabia aprende de los errores de los demás.
tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: [PROBLEMA] OLLYDBG, OLLYDUMP
« Respuesta #1 en: 18 Enero 2017, 02:33 am »

¿es exactamente el mismo programa que estás usando? sino hay varias causas posibles, entre ellas que el programador haya implementado rutinas antidebug, puede ser con varios métodos: copieando la  información PE en un archivo externo, leyendo la memoria y verificando que no haya cambios de integridad,etc.
podrías probar dumpear de otra forma, con Scylla por ejemplo. EN todo caso también pódes poner un link del exe para que los que saben lo vean, porque sino es adivinar entre todas las posibles causas.
Dicho sea de paso, esto debería ir en ingeniería inversa.
En línea

Sadistski

Desconectado Desconectado

Mensajes: 18



Ver Perfil WWW
Re: [PROBLEMA] OLLYDBG, OLLYDUMP
« Respuesta #2 en: 18 Enero 2017, 04:32 am »

si... ocupo OLLYDBG igual que el autor del tutorial...

el exe pesa como 8gb... casi imposible..
intentare dumpearlo con scylla... a ver que sale, edito si resulta..

gracias
En línea

La gente inteligente aprende de sus errores, la gente sabia aprende de los errores de los demás.
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: [PROBLEMA] OLLYDBG, OLLYDUMP
« Respuesta #3 en: 30 Enero 2017, 22:00 pm »

en el pasado para dumpear se usaba lord pe porque si no tenia permisos de memoria (lectura ) el programa usaba una opcion que si le daba permisos o lo llenaba con ceros...

por otro lado scylla esta pensado cuando ya no estas en windows xp, sino mas bien en windows 7,8,8.1 , 10, esto es porque la iat ya no trabaja siempre con las mismas apis (jmp api), sino mas bien un (trozo de api y luego jmp api) ademas de posibles randomizacion y cambios de direcciones (cada vez que ejecutas el exe se ejecuta en direcciones diferentes segun tenga sus opciones


respecto al bad signature, posiblemente sea que hay trucos adicionales , recuerdo uno que hacia apuntar al pe header que tenia x secciones, y solo tenia un numero muy menor haciendo crashear al import rec y a otros,


siguiendo con el tema que es "dll " recuerda que debes hacer 2 dump con diferente imagebase dado que deberas reparar los reloc


herramientas de unpacking siempre existen desde quickunpack para xp, herramientas como unpacker de pecompact de nachodj, unpacker de pecompact de FUU de NCR ([F]aster niversal npacker )

y lo mas delicado es que si necesitas ensayar deberas siempre hacer el proceso con algo conocido (de menor tamaño) antes de intentar algo de 8gb

Saludos cordiales Apuromafo

En línea

Apuromafo
Sadistski

Desconectado Desconectado

Mensajes: 18



Ver Perfil WWW
Re: [PROBLEMA] OLLYDBG, OLLYDUMP
« Respuesta #4 en: 5 Febrero 2017, 04:22 am »

hola, gracias a todos los que se dieron la molestia de responder en el tema.

El asunto es que es un  juego EXE de 8gb STEAM.... pero los dlls que trae instalado (uno de ellos lo probe con el cheat engine y me dice que trae la funcion que quiero cambiar) son el EMULADOR que permite jugar sin tener una cuenta de STEAM.

la dll que estoy intentando desempacar es la que supuestamente trae la STEAM ID que ocupo, ademas de otros datos. Busqué en la página del autor pero no fue posible una respuesta sobrer como desempacar la dll... por eso vine a preguntar aquí..

no funciono con scylla, pero vere lo que falta por hacer, por ultimo si no se puede primero vere todo lo que se puede hacer.

saludos.
En línea

La gente inteligente aprende de sus errores, la gente sabia aprende de los errores de los demás.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Problema con OllyDbg
Ingeniería Inversa
DarkStreaM 1 3,103 Último mensaje 20 Febrero 2009, 19:23 pm
por karmany
Problema con Ollydbg
Ingeniería Inversa
bbeettoo 8 6,036 Último mensaje 24 Febrero 2013, 00:52 am
por apuromafo CLS
Problema con posición de ventana con ollydump
Ingeniería Inversa
.:UND3R:. 7 4,696 Último mensaje 13 Septiembre 2011, 02:30 am
por .:UND3R:.
Ollydump para ollydbg v2?
Ingeniería Inversa
Wd10 6 5,103 Último mensaje 30 Enero 2013, 19:28 pm
por apuromafo CLS
MOVIDO: [PROBLEMA] OLLYDBG, OLLYDUMP
ASM
.:UND3R:. 0 2,645 Último mensaje 18 Enero 2017, 06:07 am
por .:UND3R:.
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines