Foro de elhacker.net

Programación => Ingeniería Inversa => Mensaje iniciado por: bwsr en 9 Julio 2007, 16:53 pm



Título: Armadillo, tocando las.......
Publicado por: bwsr en 9 Julio 2007, 16:53 pm
Hola, estoy intentando desempacar un Armadillo con olly manualmente.

La cosa es que este tipo de packer suele crear muchas "exceptions", entonces lo que hago es desde olly Options --> Debugging options  y añado en la pestaña exceptions --> C0000005 (ACCESS VIOLATION)

Pero lo que no entiendo es porque me sigue saliendo el error C0000005 al ejecutar el programa F9  despues que le digo a ollly que ignore esa exception.....

Alguna idea.....¿?¿?

Gracias.


Título: Re: Armadillo, tocando las.......
Publicado por: Hendrix en 9 Julio 2007, 16:56 pm
Creo recordar (no estoy seguro, hace tiempo que no toco armadillo) que el Armadillo no generaba ninguna exceptción...creo que era el ASProtect que creaba muchas..... :-\ :-\

Dime la version del armadillo... ;) ;)


Título: Armadillo, tocando las.......
Publicado por: bwsr en 9 Julio 2007, 17:06 pm
Con el PEid me dice que es --> Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks

La cosa es que el RDG Packer Detector me dice que no está empacado sino que esta programado en Microsoft Visual C++ 6 y según he leido el armadillo se confunde muchas veces con este lenguaje....


Título: Re: Armadillo, tocando las.......
Publicado por: Shaddy en 9 Julio 2007, 18:04 pm
Con el PEid me dice que es --> Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks

La cosa es que el RDG Packer Detector me dice que no está empacado sino que esta programado en Microsoft Visual C++ 6 y según he leido el armadillo se confunde muchas veces con este lenguaje....


utiliza el método avanzado (M-B) en los radio botones del margen inferior derecho y dinos que te dice.

Salu2..


Título: Re: Armadillo, tocando las.......
Publicado por: bwsr en 9 Julio 2007, 18:19 pm
(http://img511.imageshack.us/img511/3235/rdgwg3.th.jpg) (http://img511.imageshack.us/my.php?image=rdgwg3.jpg)


Título: Re: Armadillo, tocando las.......
Publicado por: Shaddy en 9 Julio 2007, 18:28 pm
(http://img511.imageshack.us/img511/3235/rdgwg3.th.jpg) (http://img511.imageshack.us/my.php?image=rdgwg3.jpg)

está bien, pero cambia de versión, la excepción que te marca es que finalizó el proceso porque detecta el debugger.

baja esta:

http://shaddy.co.nr/HERRAMIENTAS/RDG%20Packer%20Detector%20v0.6.5%20Beta.zip

Salu2..


Título: Re: Armadillo, tocando las.......
Publicado por: bwsr en 9 Julio 2007, 18:36 pm
Tengo el plugin "isDebugPresent" pero me sigue dando la lata.

No sabrás de algún manual para esta versión no???


Gracias por las respuestas ShadowDark.


Título: Re: Armadillo, tocando las.......
Publicado por: Shaddy en 9 Julio 2007, 18:56 pm
Tengo el plugin "isDebugPresent" pero me sigue dando la lata.

No sabrás de algún manual para esta versión no???


Gracias por las respuestas ShadowDark.

http://shaddy.co.nr/OllyDBG.rar

baja mi ollydbg y prueba el OllyGhost, y si no el plugin OllyAdvanced. Éste olly esta muy completo ;).

en cuanto al manual la página de ricardo está caída y concretamente esa version la tendrías que analizar con:

Modificado:ArmaFP v1.6 (http://shaddy.co.nr/HERRAMIENTAS/ArmaFP v1.6.rar)

dime la version exacta que te dice y las protecciones y ya te buscaré uno.

Salu2...


Título: Re: Armadillo, tocando las.......
Publicado por: bwsr en 9 Julio 2007, 19:11 pm
(http://img411.imageshack.us/img411/6587/rdgza2.th.png) (http://img411.imageshack.us/my.php?image=rdgza2.png)

!-
Código:
Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Nanomites Processing
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Allow Only One Copy
Disable Monitoring Thread
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970

Tiene de todo no?¿...

Muchas gracias ShadowDark !!!


Título: Re: Armadillo, tocando las.......
Publicado por: Shaddy en 9 Julio 2007, 20:23 pm
(http://img411.imageshack.us/img411/6587/rdgza2.th.png) (http://img411.imageshack.us/my.php?image=rdgza2.png)

!-
Código:
Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Nanomites Processing
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Allow Only One Copy
Disable Monitoring Thread
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970

Tiene de todo no?¿...

Muchas gracias ShadowDark !!!

Así si que hiciste un buen análisis :).

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/847-Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar

creo que éste valdrá :). Cuentame si te funciona. OJO no todo será al pie de la letra, porque éste que te pongo tiene muchas protecciones pero vamos, tiene que orientarte.

Salu2...


Título: Re: Armadillo, tocando las.......
Publicado por: bwsr en 10 Julio 2007, 23:03 pm
Hola denuevo.

Ya he intentado el unpacking y me pasa una cosa curiosa....

Sigo todos los pasos indicados y finalmente consigo dumpear el ejecutable y reconstruirlo con el ImpReconstructor pero cuando lo ejecuto me sale lo siguiente

(http://img172.imageshack.us/img172/9325/impreczj4.th.jpg) (http://img172.imageshack.us/my.php?image=impreczj4.jpg)

(http://img504.imageshack.us/img504/5798/errorce8.th.jpg) (http://img504.imageshack.us/my.php?image=errorce8.jpg)

Puede ser alguna otra protección pero esta vez del programa??

Si edito el ejecutable con olly veo todos los "string references" etc....(eso me da ha entender que está desempacado no??)

Alguna idea?¿


Título: Re: Armadillo, tocando las.......
Publicado por: Shaddy en 10 Julio 2007, 23:07 pm
Hola denuevo.

Ya he intentado el unpacking y me pasa una cosa curiosa....

Sigo todos los pasos indicados y finalmente consigo dumpear el ejecutable y reconstruirlo con el ImpReconstructor pero cuando lo ejecuto me sale lo siguiente

(http://img172.imageshack.us/img172/9325/impreczj4.th.jpg) (http://img172.imageshack.us/my.php?image=impreczj4.jpg)

(http://img504.imageshack.us/img504/5798/errorce8.th.jpg) (http://img504.imageshack.us/my.php?image=errorce8.jpg)

Puede ser alguna otra protección pero esta vez del programa??

Si edito el ejecutable con olly veo todos los "string references" etc....(eso me da ha entender que está desempacado no??)

Alguna idea?¿

un poco pequeña me parece esa tabla pero bueno, tendras que ser un .exe de nomas de 200 kb para tener una tabla tan pequeña... mira en olly porque te tira el error.

Salu2..


Título: Re: Armadillo, tocando las.......
Publicado por: bwsr en 11 Julio 2007, 18:05 pm
He vuelto a intentarlo unas 5 veces mas y en todas me pasa lo mismo.

He copiado el IAT reparado al 1º hijo del programa que he attacheado en olly,después he usado el ArmInline para el "Rebase IAT", después he dumpeado el ejecutable copiando el PE Header del programa original en el attachado y finalmente con el Import Reconstructor he arreglado la IAT.

La cosa es que cuando ejecuto el "dump_.exe" me da un error en "vcl50.blp" pero el en el Import Reconstructor me sale que está añadida y que Valid:YES

Aquí las capturas.

Analisis con el ArmaFP del "dump_exe":

<------- 11-07-2007 17:48:01 ------->
C:\Archivos de programa\Maintenance Pro\MP_Dump_.exe
!- Protected Armadillo
?- GetThreadContext error(31)
Protection system (Basic)
!- <Protection Options>
Standard protection or Minimum protection
Enable Strategic Code Splicing
!- <Backup Key Options>
Variable Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
Allow Only One Copy
Use eSellerate Edition Keys
Use Digital River Edition Keys
Don't Fall Back to Stand-Alone Mode
?- VirtualProtectEx error(5)
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970

Comparación IAT
--------------------
(http://img513.imageshack.us/img513/6641/iatreparadadx0.th.jpg) (http://img513.imageshack.us/my.php?image=iatreparadadx0.jpg)

Arm Inline
------------

(http://img59.imageshack.us/img59/9821/rebaseiatdx1.th.jpg) (http://img59.imageshack.us/my.php?image=rebaseiatdx1.jpg)

Import Reconstructor
------------------------

(http://img513.imageshack.us/img513/8215/imprecgo3.th.jpg) (http://img513.imageshack.us/my.php?image=imprecgo3.jpg)

Error
------

(http://img401.imageshack.us/img401/9316/errorwl7.th.jpg) (http://img401.imageshack.us/my.php?image=errorwl7.jpg)

No se que hago mal.....


Título: Re: Armadillo, tocando las.......
Publicado por: Shaddy en 11 Julio 2007, 20:36 pm
He vuelto a intentarlo unas 5 veces mas y en todas me pasa lo mismo.

He copiado el IAT reparado al 1º hijo del programa que he attacheado en olly,después he usado el ArmInline para el "Rebase IAT", después he dumpeado el ejecutable copiando el PE Header del programa original en el attachado y finalmente con el Import Reconstructor he arreglado la IAT.

La cosa es que cuando ejecuto el "dump_.exe" me da un error en "vcl50.blp" pero el en el Import Reconstructor me sale que está añadida y que Valid:YES

Aquí las capturas.

Analisis con el ArmaFP del "dump_exe":

<------- 11-07-2007 17:48:01 ------->
C:\Archivos de programa\Maintenance Pro\MP_Dump_.exe
!- Protected Armadillo
?- GetThreadContext error(31)
Protection system (Basic)
!- <Protection Options>
Standard protection or Minimum protection
Enable Strategic Code Splicing
!- <Backup Key Options>
Variable Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
Allow Only One Copy
Use eSellerate Edition Keys
Use Digital River Edition Keys
Don't Fall Back to Stand-Alone Mode
?- VirtualProtectEx error(5)
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970

Comparación IAT
--------------------
(http://img513.imageshack.us/img513/6641/iatreparadadx0.th.jpg) (http://img513.imageshack.us/my.php?image=iatreparadadx0.jpg)

Arm Inline
------------

(http://img59.imageshack.us/img59/9821/rebaseiatdx1.th.jpg) (http://img59.imageshack.us/my.php?image=rebaseiatdx1.jpg)

Import Reconstructor
------------------------

(http://img513.imageshack.us/img513/8215/imprecgo3.th.jpg) (http://img513.imageshack.us/my.php?image=imprecgo3.jpg)

Error
------

(http://img401.imageshack.us/img401/9316/errorwl7.th.jpg) (http://img401.imageshack.us/my.php?image=errorwl7.jpg)

No se que hago mal.....

¿y las entradas restantes las dejas sin arreglar? 9ABA20 por ejemplo está sin resolver..

Salu2..


Título: Re: Armadillo, tocando las.......
Publicado por: bwsr en 11 Julio 2007, 21:11 pm
Me he dado cuenta justo después de postear, lo que pasa que el script solo me arregla algunas......

Que puedo hacer para reparar todas ????


Título: Re: Armadillo, tocando las.......
Publicado por: Shaddy en 11 Julio 2007, 22:24 pm
Me he dado cuenta justo después de postear, lo que pasa que el script solo me arregla algunas......

Que puedo hacer para reparar todas ????

descubrir como hacerlas a mano, ahora no recuerdo exactamente el método, pero dime, que parte del tutorial es?, porque en http://ricardonarvaja.info en el webstorage tienes muchos de armadillo, pero ese es de lo mejorcito, ahora si, repararla a mano hay que buscarlo yo no recuerdo ahora mismo, pero vamos lo suyo es que mires a donde va esa dirección y como la emula.

Salu2..