Autor
|
Tema: The Cleaner 4 (Leído 2,311 veces)
|
krc_4u
Desconectado
Mensajes: 72
|
Estoy trancado con este prog. ya que esta empaquetado con UPX 0.89.6 - 1.02 / 1.05 - 1.24 segun el Peid, lo beno es que utilizo el GuiPex y no hace nada, lo intento hacer manualmente con el Olly, facil, pero cuando trato de ejecutar el programa ya supuestamente descomprimido me da este error: "No se encuentra el punto de entrada del procedimiento GetSa en la biblioteca de vínculos dinámicos comdlg32.dd." No se como hacer en este caso.
¿Alguna sugerencia? ???
|
|
|
En línea
|
"Comparte tus conocimientos. Es la unica forma de lograr la inmortalidad".
|
|
|
4rS3NI(
Desconectado
Mensajes: 75
FraGa... keep growing
|
Buenas, Has reconstruido correctamente la IAT? Has modificado la cabecera del ejecutable con el OEP?.
Saludos
|
|
|
En línea
|
|
|
|
krc_4u
Desconectado
Mensajes: 72
|
Gracias x contestar, pero no he modificado la cabecera y no le habia reconstruido el IAT pero lo hago y nada. Sigue igua.
|
|
|
En línea
|
"Comparte tus conocimientos. Es la unica forma de lograr la inmortalidad".
|
|
|
4rS3NI(
Desconectado
Mensajes: 75
FraGa... keep growing
|
Buenas, si solo tenia Upx y el prog corría bien empacado, pues me parece que tenes que rever la Reconstruccion IAT, tb proba el dump fixer del peeditor, (RS=VS; RO=VO)
Saludos
|
|
|
En línea
|
|
|
|
UnpaCker!
Desconectado
Mensajes: 21
|
Lo mas probable es q tengas un programa "hackeado" para UPX(ya sabeis esos q modifican cierta parte para no permitir que se desempaque con UPX tradicional).
Intanta bajar un compresor original de UPX e intenta desinstalarlo con upx.exe -d programa.exe
Si te indica que fue hackeado ó que no lo puede descomprimir, lo mas seguro es que este comprimido y parcheado con algo como UPXShit,UPXScramble..etc..
El PEiD cuenta con varios plugins para detectar e incluso para desempacar programa de UPX Modificados. Utiliza el plugin de Crypto Analyzer y si te da algun resultado como :
CRC32:: 0000XXX :: 00xxxxxxx
Entonces fue modificado el archivo comprimido con UPX.
Hay varios manuales para desempacar estas joyitas.. y los puedes encontrar en la lista de correo de cracklatinos:
hxxp://www.crackslatinos.hispadominio.net
En este caso q te menciono solo seria cuestion de cambiar el CRC32 con un plugin con el q tambien cuenta el PEiD.
Aunque tambien existen scripts de Olly q lo hacen automatico
Regards!
|
|
|
En línea
|
|
|
|
|
|