Título: Una ayuda porfa Publicado por: catalinilla en 14 Octubre 2011, 10:43 am Hola a todos, vereis estoy intentando desempacar una dll que creo que es vmprotect y la verdad es que no tengo mucha idea del tema. Despues de leer varios tutes (no de este precisamente) empiezo con el tema y sigo estos pasos:
Abro Ollydbg y cargo la dll http://imageshack.us/photo/my-images/703/foto1hc.jpg/ Pongo un Bp en la sección del codigo, doy run y paro aqui http://imageshack.us/photo/my-images/195/foto2iz.jpg/ Pongo un bp VirtualProtectEx y vuelvo a poner un Bp en la sección del codigo, run y lledo aqui http://imageshack.us/photo/my-images/825/foto3qh.jpg/ Crtl+f9 para pasar esta api y paro aqui http://imageshack.us/photo/my-images/560/foto4mt.jpg/ Vuelvo a poner un Bp en la sección del codigo, run y paro aqui http://imageshack.us/photo/my-images/511/foto5b.jpg/ Y la cuestion es que ya no se seguir o si lo estoy haciendo bien, a ver si alguien me puede echar un cable y me ayuda. Gracias de antemano Salu2 Título: Re: Una ayuda porfa Publicado por: catalinilla en 15 Octubre 2011, 10:43 am Muchas gracias a todos.......
Título: Re: Una ayuda porfa Publicado por: apuromafo CLS en 16 Octubre 2011, 05:40 am xD desde que comentas de vmprotect ya mataste el apoyo, es que igual pensemos que vas bien llegaste al oep
ahora a reparar la iat, ta toda ok pensemos en un mundo ideal donde 3 o 4 calculos hardcoded no son tanto pero que pasa con lo ofuscado o virtualizado?, que pasa si hay hook de dll adicionales, que pasa si tiene stolen de recursos? el otro dia me anime a ver todo lo de vmprotect y creeme, no hay nada concreto que apoye de la version 2.9 en adelante , lo anterior es siempre igual asi que animo y ganas, porque debes primero investigar que tipo de link tiene el exe para saber en como fue compilado nativamente y si tienes stolen oep o no, revisar que si corre unpacked, es porque ta todo ok.. te falta probar primero en todos los otros tipos de packed en diferentes imagebase y vmprotec diria que es de los ultimos packers a ver, la cantidad de historias son brutales, no son para newbies ni recien iniciados en el tema, ya deben saber depurar aplicaciones desconocidas y reparar todo lo que no corra.. ideas adicionales 1) dumpear en 2 imagebase en diferente y reparar con relox revisar que tipo de origen es y restaurar el oep en base a stack revisar la iat, a modo de restaurarla por calculo y no por iat normal verificar que no haya ningun antidump que estropee nada.. el lio son las detecciones cuando intentas reparar mas... Título: Re: Una ayuda porfa Publicado por: catalinilla en 16 Octubre 2011, 19:05 pm Muchas gracias por la respuesta Apuromafo, voy a ver si se seguir.
Salu2 |