Foro de elhacker.net

QUe tal gente, el tema es el siguiente, se que armadillo es complejod e atacar, pero me gustaria empezar de una vez jeje.

Tengo un ejecutable, segun el peid Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks. ahora, en el administrador de tareas tengo dos procesos llamados igual, con el nombre de mi ejecutable.

Como procedo??? en el baul de ricardo hay muchisimas teorias, alguno me diria cual es la mas indicada??? gracias.

Lo mejor que puedes hacer es leer las teorias de solid jeje, el lo explicaria de una forma mejor a como lo haria yo, hice un tute sobre armadillo pero basandome en los tutes de solid jeje, pero te adelanto algo, tenes que quitar el padre (es el proceso principal) para poder hecharle mano, y para eso segun sea copymem II (descifrar y copiar bytes al proceso hijo de a 1000 y luego quitarlos cuando no los necesite, bueno es algo parecido  :rolleyes: por eso digo lee el tute de solid que hay mas abajo jeje) o debugblocker tenes unas formas de hacerlo, mira pasale el armaFp y ahi te dice que protecciones usa, y luego de eso lee esto jeje:

Tute solid:

http://ricardonarvaja.info/WEB/CONCURSOS%202007/CONCURSO%204/Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar (http://ricardonarvaja.info/WEB/CONCURSOS%202007/CONCURSO%204/Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar)

ArmaFP:

http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/ArmaFP.zip (http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/ArmaFP.zip)

Mi tute sobre armadillo:

http://www.mediafire.com/?soctfy2hydt (http://www.mediafire.com/?soctfy2hydt)

salu2 y espero le sirva  ;D

AmeRiK@nO

Gracias por la respuesta AmeRiK@nO, la aplicacion que me diste dio esta info.

<------- 08-11-2008 23:11:17 ------->

!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
!- Version 4.48

Mañana lee los tutos gracias por la ayuda.

Ok, segun veo tiene lo minimo, menos mal no tubo copymem II, ahora ya te podras guiar por mi tute jeje, pero fielmente te recomiendo los de solid son los mejores.

Ahora lo que tenes que hacer es evitar que corra en 2 procesos a traves de un BP en OpenMutexA (tildando todas las excepciones en Debuggin options + exceptions para que solo pare por el bp y no confundir con otras cosas jeje) y como a la segunda o en otros casos a la 3 parada del olly en este BP, podes poner eax a 1 despues del retn de esta api, y asi evitaras que corra en 2 procesos, ahora para hallar el oep, lo podes hacer de muchas de las formas convencionales (no todas a veces funkan   ;)), pero la que me sirvio es como explica solid en sus tutes, es poner un BP en CreateThread y cuando pare llegar al retn y buscar un poco hacia abajo hasta dar con unas llamadas indirectas (la mas comun es call EAX), y a la segunda que aparece, creo que siempre es asi, esa sera entonces la llamada al OEP y de ahi anda la mona  ;D ;D ;D ;D ;D, tambien lo podras hacer poniendo un BP ON MEMORY ACCES en la sección CODE. Luego de llegar al OEP solo te restaria reparar la IAT, dumpear y arreglar el pe-header copiandolo del original jeje.

Espero te sirva, aunque como diré siempre los tutes de Solid son lo mejor en estos casos jeje, lo que acabo de decir es tan solo una añadidura  ;D.

salu2.

AmeRiK@nO

Se me olvidaba decirte algo jeje, cualquier duda comunicamela a mi msn jeje y asi trabajaremos mas comodo y los avances los posteamos   ;D ;D ;D

salu2

amerikano

Ni COPYMEM, ni Nanomites, ni IAT Scramble, ni Code Splicing, xD, amos está tirado... porque yo últimamente ando con cada uno ¬¬...

KJD, en éste para localizar el OEP como no tiene CopyMemII, tienes que meter un BP en CreateThread, y fijarte donde retorna porque habrá un call r32 que te llevará al OEP.

Luego miras a ver como está la tabla y si hay entradas mal metes un hw y reinicias para ver donde se escriben mal.

Salu2...

¿call r32 significa indirecto?, si es asi bueno saberlo  ;D

salu2

amerikano

jajaj si bueno, en OllyDBG puedes hacer una búsqueda de un:

call r32

ésto dará todos los resultados de los registros de "32 Bits" (EAX, EBX, ECX, etc), de la misma manera también puedes buscar.

mov eax, r8

etc.

También, imagina que llegas del CreateThread, y eres un vagoo como yo que no le apetece buscar el call r32. Entonces le das a CTRL + T (Run Trace options) y pones que tracee hasta encontrar una instruccion de las siguientes, y pones.

call r32, le das a CTRL+F12 (TRACE OVER), para que no te entre en las DLL y listo.

Salu2...

Por eso eres grande ShaDDy, muchas gracias  ;D ;D ;D ;D ;D ;D ;D ;D ;D no sabia esto jeje

salu2

amerikano

Gracias AmeRiK@nO y Shadow, sus respuestas como siempre impecables  ;D, les comento los avances.

He seguido las instrucciones de AmeRiK@nO, he puesto un BP en CreateMutexA, para evitar que se cree el segundo proceso en la segunda parada de la api, poniendo EAX a 0, el problema es que funciono bien, es mas puse un BP on Access en la sección .code y llege a lo que me parecia el OEP, ya que dos instrucciones mas abajo tenia la api getstartupinfo, el caso es que intente dumpear y el olly se travo, emepzo a ejecutarce una rutina y no andubo mas, es asi como digo, sonara raro pero asi fue. El problema es que ahora eax no vale mas 0 sino BC, AC, B0, etc, nunca 0, pero si lo pongo a 0 tampoco anda ya que queda en running y no arranca el programa.

Voy a ver como soluciono este problema  y les comento mas resultados.

Saludos y gracias.

Bueno, las novedades:

No se porque, pero ahora el segundo proceso se crea antes que olly pare en CreateMutexA, no se que sera. Shadow, si sigo tu metodo, el del CALL R32, me da error de que no puede acceder a la pocicion F5638CF7, que no es redeable, o leeible.

Algun otro metodo???

Es que no es en CreateMutex, es en OpenMutex, a la segunda vez que para le das ctr+f9 y estas en el ret, y ahi cambias a eax por un 1...

Lo mejor es poner el bp en el ret del OpenMutex, por las dudas te llegara a detectar.

Saludos

Hay tena!!!!  :-\ :-\! soy un idiota, o talvez este saturado de tanto asm, en fin, mil gracias.

Ahora, me faltaria encontrar el oep no??? poniendo un BP on acces en la sección text 41000 no??.

Saludos y gracias,

Ahora un bp en CreateThread, dos veces ctrl+f9 y buscas por abajo un Call Registro que ese es el salto al oep. Pones un bp en ese call registro y das run, luego f7 y estas en el oep.

saludos..

Gracias tena, lo encontre, ahora lo dumpeo con el ollydump??? o con LordPE???

Esto parece una conversacion de msn jejej.

jeje mejor con LordPe y activa el Intellidump..

y ya que estas en el oep fijate como esta la iat, ponele un hbp on write a una de los valores y luego reinicia para buscar el salto magico..

Tambien un HBP en execucion al oep...

cuando reinicies, no te olvides del OpenMutex

Suerte

Una vez Dumpeado, con el ImpRec, no me encuentra las importaciones, osea la IAT debe estar echa pelota, ahora me surgue una duda,

este es mi OEP

(http://img208.imageshack.us/img208/2676/oepva2.jpg)

y esta es la sección a donde me lleva el jump

(http://img142.imageshack.us/img142/7537/oep2wk4.jpg)

Mi pregunta es, cual call es la que tengo que seguir en el dump para poner el HBP on write???

te vas a cualquiera de las call indirectas, por ejemplo la de GetVersionExA, das follow in dump memory address, y en la ventana del dump para verlas mejor elijes Long>Address..

Luego ahi pones el hbpw en cualquiera de los valores y reinicias...

Suerte

Realmente no creo que ese sea el OEP, KJD se me olvido preguntarte ayer si a ud el Olly le rompia 2 veces en el CreateThread, por que en el ejecutable que me mandastes no :(, si aud si le para 2 veces, luego de ello es donde debes buscar la call r32, como dice Shaddy (CALL EAX) o ver si para en la sección code despues de poner el BP ON EXECUTION, y si no tiene pinta de OEP al parar prueba nuevamente con F9, normalmente en la primera parada no es.

salu2

amerikano

si si, ese es el OEP destrozado.

Hola shaddy, a que te refieres con destrozado? armadillo lo tocò? servira de todas formas si se pone ese como OEP? es una dudilla jeje, ya que he visto en muchos tutes que un oep no puede ser call, corrijame si me equivovo  ;D.

salu2

amerikano

Mientras que Shadow responde la pregunta de  AmeRiK@nO, posteo mi duda.

Este es el principio de mi posible IAT

(http://img252.imageshack.us/img252/3571/iatinicioce1.jpg)

Y este es el fin????  en 00985658  00000000

(http://img412.imageshack.us/img412/9296/iatfinef6.jpg)


Porque como tengo mas instrucciones del tipo SFrame.0097F3D6, quiza siga mas para abajo.

Saludos y mil gracias por la ayuda

Como decia, en base a otros tutos las que estan en cada cambio de libreria, deben ser "00000000", pero creo que la que esta en 985024, creo que es erronea no se, pero como hay una abajo de la misma libreria ahi deberia ir un valor correcto. Bueno esta tarde quedamos en el punto en que ecx tomaba los valores que iban a ser ingresados en la IAT era algo como mov ecx, DWORD PTR SS:[EBP-XXXX], y podes ir a la pila o stack, presionar ctrl+g y poner "EBP-XXXX" como indique la instruccion anterior y ally es donde tendras el punto donde se almacenan los valores buenos y malos.

Vas al dump en esa direccion y pones un HBP ON WRITE alli, todos los que tengas, y das a F9, y estas atento de que haya parado por escribir una entrada falsa o buena, de lo contrario das nuevamente a f9, y cuando se haya escrito la entrada en la iat ahi es donde debes subir un poco y hallar el salto magico  ;D, luego podes crear un script que cambie ese salto y te deje en el oep con la iat reparada para luego dumpear  :D, bueno, me extendi, esto es lo que ibamos a hacer si no te hubieras ido jeje.

salu2

amerikano

Gracias AmeRiK@nO, entonces solo me queda buscar el salto magico y aplicar el script, cuando llege a casa me pongo a buscarlo. gracias

Saludos.

En cuanto a Americano, si si, ese es el OEP, porque lo he visto en los últimos armadillos y he desempaquetado alguno con ese OEP. Y no son como los de verdad XD.

En cuanto a KJD XD, si, esa es la tabla, las librerías efectivamente se separaran con un DWORD "00", y como ahí no tienes IAT scramble pues la tienes más o menos fácil.

Para saber el largo es mejor que clickees 2 veces en el margen de las direcciones desde el punto de inicio para qu ete diga el final ej:

$+F79 -> Ultima api (buena o tirada)

Salu2...

Shadow, te comento que la IAT esta media jodida, ya que en la parte de importaciones del kernell esta desordenada, osea tengo 1 entrada bien, 1 mal, 2 bien, 3 mal, etc.....

Bueno gente les comento que pude con el maldito armadillo!!!!!!

Estoy contento jejeje!!!!

Pude encontrar el salto magino que escribia los valores buenos y malos en la IAT, aplique el script de Solid y pude quedar en el OEP con la IAT reparada.

Le aplique el imprec y repare el dumpeado.

Le arregle el header y lsito.

Ahora tengo un problema. el ejecutable me da error de

Microsoft C++ Runtime Library.

r6002
-Floating point suport not loaded.

Que podra ser??

EDITO:

Me he dado cuenta de dos cosas, el archivo dumpeado y desempacado, esta packetado con molebox 2.57, porque cuando lo cargo en olly me dice que esta protegido, y el RDG me tira que esta protegido con ese molebox 2.5.7.

Les agradeceria si le echan un vistazo y me dicen si es verdad lo que me dice el RDG o es que no le saque el armadillo como se debia, aunque me parece que si.

Les dejo el archivo. Gracias y saludos.

http://rapidshare.com/files/162917138/Escritorio.rar.html

Bueno, realmente no se si lo llegaste a desempacar del todo bien, puesto que si te desordenó la IAT, y utilizaste el script sólamente con el salto, es posible que olvidases que suelen utilizar GetTickCount para calcular el tiempo que tarda desde que mete la API hasta que se guarda, y al aver un bp ese tiempo ya no es el mismo, así que probablemente deberías tener en cuenta eso, el JBE debajo del GetTickCount.

Te recomiendo un tute de AbsshA, en el webstorage de Ricardo en Concursos 2008 el concurso 1 nivel 4 sino me equivoco donde desempaca el "VideoRedo", ahí tienes un script facilón.

Y también estaría bien que si te rompe la IAT que la cambies de sección, ésto lo hace muy bien el arminline, y además, te las pone en su sitio.

Salu2..

He estado siguiendo el tutorial de AbsshA, llego a la pare que el ejecutable no arranca, pero no puedo llegar a la misma sección que el llega, osea no puedo modificarlo para que arranque si o si.

Me he fijado este nuevo dump que hice y la IAT esta desordenada yu con entradas falsas, cosa que en mi dumpoeado original no. Por eso no creo que GetTickCount este molestando. Alguna otra idea de lo que podria llegar a ser???

ponele hbpw a un valor de la iat, reinicia, das dos veces run, y fijate si justo donde cae abajo hay un GetTickCount, y abajo de este hace la resta,  a esta resta la debes de poner en cero con el script, sino lo haces te desordena las apis en la iat  poniendolas en cualquier lado..

acordarse del openmutex


saludos

Gracias tena por la respuesta.

Ahora que lo dices, he puesto ams atencion y me di cuanta de algo, les dejo la imagen.

(http://img230.imageshack.us/img230/6795/iatje3.jpg)

Si se fijan bien, entre las instrucciones del kernel, tengo metidas las de ntdll, es esto normal??? mientrastanto me pongo a ver bien los de GetTickCount haber si es eso lo que me la desordena.

Saludos y gracias,

jajaja Pues eso es de GetTickCount eh amigo?, luego te recomiendo que lo cambies de base cone l ArmInline.

Salu2..

Gracias Shadow, ya me parecia que no podia quedar asi, estoy intentando con el gettickcount, pero el maldito script no quiere andar como se debe, o no me ordena la IAT, es como si no pusiera a 1 a z.

Saludos.

Pues efectivamente parece ser GetTickCount, ya que si no lo evito, me escribe por ejemplo

kernel32.FreeEnvironmentStringsW

cuando tendria que ser

ernel32.FreeEnvironmentStringsA

ahora tengo un problerma algo grave, no me funciona el script para arreglar la IAT, este no pone a 0 al flag Z, pero si el flacg C, les dejo el escript para ver si descubren que esta mal.

gtc:

bphws 019DCF32, "x"  //GetTickCount
bphws 00927D5A , "x"   //oep
bphws 019DCCEF, "x"  //MAGICO


eob dale
run

dale:
cmp eip, 019FCF32
je repara
cmp eip, 00927D5A
je termina
cmp eip, 019FCCEF
je magico



repara:

mov !CF,1
jmp gtc

magico:
mov !ZF,1
jmp gtc

termina:
ret


Saludos y gracias.

no se a donde va jmp gtc ¿?


Creo que ahi esta el error, debe ser un "run" en lugar de los dos jmp gtc

Saludos

tena el jmp gtc, va arriva de todo para volver a poner los bp, pero el error estaba en el salto magico, eran diferentes.

Ya lo he podido dumpear y demas, pero ahora el problema esta en que la aplicacion se cierra inesperadamente, pero no tengo lo de GetEnvironmentVariableA, asique no se como seguir. Alguna idea???

Si, le tienes que agregar cualquier ArmAccess.dll que encuentres por la red ;).

Salu2...

Gracias Shadow, voy a intentar con esa dll que me dices, pero me parece que lo he dumpeado mal, porque el programa cargado en olly arranca y empieza a cargar o extraer, no se bien como explicarlo, unas strings de unos archivos del programa y el programa se sale automaticamente.

Voy a revisar bien, sino, es el maldito programa que no quiere andar sin armadillo.

La ArmAccess.dll se encarga de una función que queda de armadillo, ésta función es la misma de la licencia, la que puedes ver si pones un bp en LoadLibraryA como intenta cargarla, y si EAX devuelve 1, entonces pasará a resolver la dirección de una API licensenoseque, que carga unas variables de entorno que necesita para estar registrado. Es por eso que lo puedes tener todo perfecto y no arrancar, para eso recomendación, BP LoadLibraryA y así verás que el mismo te lo está pidiendo a gritos.

Salu2...

Bueno gente, gracias a toso, Shadow, tena y sobretodo  a AmeRiK@nO que e tuvo una paciencia extraordinaria!!! jejeje.

El tema es asi, el programa, esta protegido co hackshield, y algunas otras herramientas antidebugginq ue todavía no descubri, como el tamaño del ejecutable, el tiempo de ejecucion y demas, por eso no me arranca. El arrmaccess no lo necesita ya que no necesita estar reegistrado o no.

Vere sipuedo sacarle esta proteccion que tiene de no poder cargar unas variables ya que me detecta y se sale.

Por lo demas, con el tema de armadillo esta todo resuelto, lo despakete bien, dumpee bien la IAT y lka acomode con ARMLine.

Muchachos gracias por toda la ayuda, ya venci mi primer armadillo!!!! jjejeje saludos a todos.

Eso nes lo mejor que puede haber, vencer lo que uno se propone aunque despues de eso te salio otro  ;D, estas mejorando mucho, por lo tanto haz un tute sobre ello jeje, y en cuanto a la paciencia je ps es lo que me gusta hacer por eso trato de ayudar con lo poco que se.

salu2 amigo

amerikano

Pues no conocía esa protección "HackShield", sería interesante echarle un vistazo...

Pensé que sería la ArmAccess, por lo que dijiste de GetEnviromentVariableA, pero por lo visto va a ser que no.

Dices que tiene protección CRC y protección con GetTickCount??? OJO no confundas el GetTickCount que se utiliza para generar la "cookie" para evitar desbordamientos eh?...

es fácilmente reconocible porque la secuencia es algo parecida a ésta.

GetSystemTimeAsFileTime
GetCurrentProcessId
GetThreadId
GetTickCount
QueryPerformanceCounter

y se xorean todas entre si, ahora mismo no recuerdo exactamente el orden pero vamos, se reconoce fácilmente.

Salu2...

Gracias AmeRiK@nO , si logro vencer las protecciones seguro va un tute.
HackShield es una proteccion para juegos online, sirve para proteger el ejecutable de modificaciones o exploits que se puedan hacer, es igual que punkbuster o gamespy.

Lo de GetEnviromentVariableA, decia que no tenia esa api, y no puedo llegar al mismo lugar al que llegan solid o tena en sus tutes.

Voy a ver si encuentro esa secuencia de apis, me aprece haber visto algo parecido en algun lugar.

Saludos.