Título: Ayuda para desempacar exe protegido con ASPack v2.12 Publicado por: alex_marchello en 4 Mayo 2011, 00:34 am Estimados amigo
Soy nuevo en este foro y me presento me llamo Marcelo Barberis y soy de Bolivia y tengo un archivo exe que esta protegido con ASPack v2.12 si alguien puede ayudarme se lo agradeceria mucho. Use la herramientoa RDG Packer Detector y da esta informacion en Multi-Detec Aspack Deteccion Heuristica Aspack v2.0 - v2.12 Aspack v2.000 Aspack v2.12 Utilize la herramienta AspackDie 1.4 despues de utilizarlo le paso nuevamente RDG Packer Detector y me da esta info PowerBASIC/Win 8.00 Nada despues uso la opcion M-B y depues detecta Microsoft Visual Foxpro Aspack v2.12 Aspack Deteccion Euristica y en Multiples Detecciones me da esto Aspack Deteccion Heuristica Aspack v2.0 - v2.12 Aspack v2.000 Aspack v2.12 He querido utiliza olligDBg siguiendo unos manuales de la web pero en estos manuales hablan de un OEP pero en el ollig no encontre OEP de este exe por lo que quede al inicio sin poder continuar. Alguien tiene experiencia en eliminar estas protecciones ASPack v2.12 para que me de una mano, si tienen alguna bibliografia con este tipo de protecciones, quiero eliminar este ASPack desde hace bastante tiempo por mi cuenta y no lo consigo por eso recurro a ustedes por si saben de algo que me pueda ayudar. Si desean les puedo enviar el exe para que revisen, este es mi email si tienen interes alexmarce40@gmail.com De antemano gracias por cualquier ayuda Marcelo Barberis Título: Re: Ayuda para desempacar exe protegido con ASPack v2.12 Publicado por: gastonp en 4 Mayo 2011, 14:00 pm Hola alex, si no queres complicarte mucho podes usar esta aplicacion:
http://www.zerorev.net/reversing/Unpackers,%20Dumpers%20and%20Decrypters/Pmak%202/Pmak%202.rar (http://www.zerorev.net/reversing/Unpackers,%20Dumpers%20and%20Decrypters/Pmak%202/Pmak%202.rar) Se llama pmack, yo lo he usado varias veces con ejecutables protegidos con Aspack 2.12 Espero que te sirva a vos tambien. Saludos Título: Re: Ayuda para desempacar exe protegido con ASPack v2.12 Publicado por: apuromafo CLS en 4 Mayo 2011, 18:12 pm aver si no olvido, es
pushad bp en access dword en stack , popad, luego se crea en runtime un push oep+ret, luego al pasar el ret, estas en el OEP(original entry point) aveces pueden haber mas de un packer, pero vamos ,luego de aquello hay que verificar si hay overlay, despues de utilizarlo le paso nuevamente RDG Packer Detector y me da esta info PowerBASIC/Win 8.00 Nada despues uso la opcion M-B y depues detecta Microsoft Visual Foxpro pero lo has abierto el unpacked? recuerda que es necesario que el unpacked, derrepente tenga ciertos permisos en las secciones, o bien que tenga su overlay aver busquemos ejemplos de tutoriales de aspack (supongo ya leiste los escritos de ricardo, esta desde el primer chincheta comentado que esta en ricardonarvaja.info veamos: aspack+upx http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/294-ASpack%26UPX_by_%2BNCR.rar aspack solo http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/262--ASpack212_CoolFolder40_by_%2BNCR.rar http://ricardonarvaja.info/WEB/CONCURSOS%20VIEJOS/CONCURSOS%20MAS%20ANTIGUOS/REQUETECONCURSOS%20NUEVOS/CONCURSO%2044/RQT44%20Nivel%202%20-%20Desempacado%20de%20ASPack%20%28por%20DeAtH%29.rar http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/101-200/111-%20Desempacado%20del%20programa%20ASpack_211d%20por%20arapumk.zip http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/101-200/154-UN%20ASPACK%20programa%20Taskman%20por%20AnsGaryYunllet.zip http://ricardonarvaja.info/WEB/OTROS/COLABORACIONES/COLABORACIONES/Mekatrix%2031.-%20Jugando%20con%20las%20Apis%20Aspack%202.11%20y%202.00.rar http://ricardonarvaja.info/WEB/OTROS/COLABORACIONES/COLABORACIONES/01-UnpackingASPackv2.12%5BACEHIGH%5D.zip http://ricardonarvaja.info/WEB/OTROS/AKIRA%20TODO/2.%20Estudio%20completo%20del%20empaquetador%20Aspack%202.12.rar http://ricardonarvaja.info/WEB/CONCURSOS%202009/CONCURSO%2018/SolucionASPack2.2Concurso18.doc http://ricardonarvaja.info/WEB/CONCURSOS%202009/CONCURSO%2018/unaspack_c18_CarpeDiem.pdf aspack /realmente asprotect (todo referia que era aspack pero era asprotect) http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1172-Desempacando%20al%20protegido%20de%20aspack%201.1.pdf.7z aspack+armadillo http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1026-Armadillo%2Baspack_por%20solid.rar http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1028-armadillo%2Baspack_parte%202%20solid.rar saludos Apuromafo Título: Re: Ayuda para desempacar exe protegido con ASPack v2.12 Publicado por: alex_marchello en 4 Mayo 2011, 21:07 pm Estimados
Le cuento lo que hice siguiento algunas guias que encontre en la Web, siguiendo estos pasos, aver que me dicen ustedes que tienen mas experiencia. 1.- Abri el exe en ollydbg 2.- presione f7 para pasar a la siguiente linea 3.- Me ubique en el ESP y presione boton derecho y elegi la opcion FOLLOW IN DUMP 4.- seleccione lo 4 primero caracteres de HEW DUMP y le hice click con boton derecho BREAKPOINT - HARWARE ON ACCES - DWORD 5.- presiono F9 6.- presiono F7 - F7 Hasta llegar a RETN y alli encuentro el OEP (00403C94) 7.- Presiono nuevamente F7 8.- Me voy a Plugins - OLLYDUMP - OLLY DUMP DEBBUGED PROCESS 9.- Me copio el OEP que me aparece alli que es 3C94 para posterior 10.- Le hago click en DUMP le pongo un nombre y lo guardo 11.-Ahora abro el programa ImportREC 12.- Busco el proceso del archivo que estoy trabajando 13.- Cambio el OEP "001B2001" ==> "0003C94" y doy click en IAT AutoSearch 14.- Aqui esta el problema no me aparece el mensaje "Found Address wich may be in the original IAT. TRY get import. Me aparece este Coult not find anything good at this OEP 15.- para luego continuar con GET IMPORT y me aparece mejor dicho no me aparece valid:Yes por consiguiente creo que no lo hice bien Alguna recomendacion, si quieren puedo enviarles el exe para que ustedes lo revisen, me dejan su correo para que se los envie. De antemano gracias por sus comentarios Marcelo Barberis Título: Re: Ayuda para desempacar exe protegido con ASPack v2.12 Publicado por: apuromafo CLS en 5 Mayo 2011, 23:35 pm una consulta
001B2001" ==> "0003C94 cuanto es tu imagebase? que muestra tu oep? pd: despues que llego al oep, pues intenta borrar el bp en access, piensa cuidar un poco al pc xD ** a import rec siempre se le agrega el rva , no suelo usar esos automáticos a menos que sea extremo. aver luego del oep, intentas bajar al primer call y con f7 entras, con f8 pasarias de largo, no el f7 entras y veras , y ves algo como jmp dword prt (direccion) /call dword ptr, no recuerdo como sale normalmente pero le das para seguir en el dump esa direccion tiene algo asi direccion:nombre de la api o bien un numero normalmente mayor a 70000000 le das formato long adress, luego tendras mas ordenadito ahora siendo mas explicito, luego de aquel direccion se ve el inicio..subiendo mas o menos esta en los escritos, cuando tienes que enCONTRAR y entender la iat a MANO.. normalmente seria algo asi 402000 7777756...... 402004 7777757...... 402008 00000000000 en un caso hipotetico, la iat comenzaria en 402000, y terminaria en 402008, por ende deberia tener un tamaño de 8 y el RVA hay que probar si ya es 402000 o simplemente 2000, no recuerdo si se le configuraba en import rec o en otra tool (no tengo ni el depurador, ni nada a mano, estoy comentandote al aire la idea) revisa bien los escritos sugeridos, y echale un look, no creo que sea dificil si sigues leyendo, pero antes de desempacar aspack hace el intento con un upx, que es el primer unpack que todos o casi todos suelen explicar paso por paso.. ahora bien pensemos que es un dumped?, es como un programa que copiaste de la memoria en una direccion especifica, que no tiene alineado su tabla de iat, o bien su entrypoint, luego de asignar el oep, o entrypoin, busca las direcciones virtuales a modo de reservar las apis, que estan en la sección de la iat, establecida en la sección de recursos y luego buscar si existe esa dll y esa api saludos ...vuelvo a casa a ver si pillo algun depurador y un ejemplo simple para comprimir con aspack saludos Apuromafo |