Autor
|
Tema: [PROBLEMA] OLLYDBG, OLLYDUMP (Leído 4,436 veces)
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
¿es exactamente el mismo programa que estás usando? sino hay varias causas posibles, entre ellas que el programador haya implementado rutinas antidebug, puede ser con varios métodos: copieando la información PE en un archivo externo, leyendo la memoria y verificando que no haya cambios de integridad,etc. podrías probar dumpear de otra forma, con Scylla por ejemplo. EN todo caso también pódes poner un link del exe para que los que saben lo vean, porque sino es adivinar entre todas las posibles causas. Dicho sea de paso, esto debería ir en ingeniería inversa.
|
|
|
En línea
|
|
|
|
Sadistski
|
si... ocupo OLLYDBG igual que el autor del tutorial...
el exe pesa como 8gb... casi imposible.. intentare dumpearlo con scylla... a ver que sale, edito si resulta..
gracias
|
|
|
En línea
|
La gente inteligente aprende de sus errores, la gente sabia aprende de los errores de los demás.
|
|
|
apuromafo CLS
|
en el pasado para dumpear se usaba lord pe porque si no tenia permisos de memoria (lectura ) el programa usaba una opcion que si le daba permisos o lo llenaba con ceros...
por otro lado scylla esta pensado cuando ya no estas en windows xp, sino mas bien en windows 7,8,8.1 , 10, esto es porque la iat ya no trabaja siempre con las mismas apis (jmp api), sino mas bien un (trozo de api y luego jmp api) ademas de posibles randomizacion y cambios de direcciones (cada vez que ejecutas el exe se ejecuta en direcciones diferentes segun tenga sus opciones
respecto al bad signature, posiblemente sea que hay trucos adicionales , recuerdo uno que hacia apuntar al pe header que tenia x secciones, y solo tenia un numero muy menor haciendo crashear al import rec y a otros,
siguiendo con el tema que es "dll " recuerda que debes hacer 2 dump con diferente imagebase dado que deberas reparar los reloc
herramientas de unpacking siempre existen desde quickunpack para xp, herramientas como unpacker de pecompact de nachodj, unpacker de pecompact de FUU de NCR ([F]aster niversal npacker )
y lo mas delicado es que si necesitas ensayar deberas siempre hacer el proceso con algo conocido (de menor tamaño) antes de intentar algo de 8gb
Saludos cordiales Apuromafo
|
|
|
En línea
|
Apuromafo
|
|
|
Sadistski
|
hola, gracias a todos los que se dieron la molestia de responder en el tema.
El asunto es que es un juego EXE de 8gb STEAM.... pero los dlls que trae instalado (uno de ellos lo probe con el cheat engine y me dice que trae la funcion que quiero cambiar) son el EMULADOR que permite jugar sin tener una cuenta de STEAM.
la dll que estoy intentando desempacar es la que supuestamente trae la STEAM ID que ocupo, ademas de otros datos. Busqué en la página del autor pero no fue posible una respuesta sobrer como desempacar la dll... por eso vine a preguntar aquí..
no funciono con scylla, pero vere lo que falta por hacer, por ultimo si no se puede primero vere todo lo que se puede hacer.
saludos.
|
|
|
En línea
|
La gente inteligente aprende de sus errores, la gente sabia aprende de los errores de los demás.
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Problema con OllyDbg
Ingeniería Inversa
|
DarkStreaM
|
1
|
3,076
|
20 Febrero 2009, 19:23 pm
por karmany
|
|
|
Problema con Ollydbg
Ingeniería Inversa
|
bbeettoo
|
8
|
5,998
|
24 Febrero 2013, 00:52 am
por apuromafo CLS
|
|
|
Problema con posición de ventana con ollydump
Ingeniería Inversa
|
.:UND3R:.
|
7
|
4,665
|
13 Septiembre 2011, 02:30 am
por .:UND3R:.
|
|
|
Ollydump para ollydbg v2?
Ingeniería Inversa
|
Wd10
|
6
|
5,065
|
30 Enero 2013, 19:28 pm
por apuromafo CLS
|
|
|
MOVIDO: [PROBLEMA] OLLYDBG, OLLYDUMP
ASM
|
.:UND3R:.
|
0
|
2,629
|
18 Enero 2017, 06:07 am
por .:UND3R:.
|
|