Foro de elhacker.net

Programación => Ingeniería Inversa => Mensaje iniciado por: catalinilla en 14 Octubre 2011, 10:43 am



Título: Una ayuda porfa
Publicado por: catalinilla en 14 Octubre 2011, 10:43 am
Hola a todos, vereis estoy intentando desempacar una dll que creo que es vmprotect y la verdad es que no tengo mucha idea del tema. Despues de leer varios tutes (no de este precisamente) empiezo con el tema y sigo estos pasos:
Abro Ollydbg y cargo la dll
http://imageshack.us/photo/my-images/703/foto1hc.jpg/
Pongo un Bp en la sección del codigo, doy run y paro aqui
http://imageshack.us/photo/my-images/195/foto2iz.jpg/
Pongo un bp VirtualProtectEx y vuelvo a poner un Bp en la sección del codigo, run y lledo aqui
http://imageshack.us/photo/my-images/825/foto3qh.jpg/
Crtl+f9 para pasar esta api y paro aqui
http://imageshack.us/photo/my-images/560/foto4mt.jpg/
Vuelvo a poner un Bp en la sección del codigo, run y paro aqui
http://imageshack.us/photo/my-images/511/foto5b.jpg/
Y la cuestion es que ya no se seguir o si lo estoy haciendo bien, a ver si alguien me puede echar un cable y me ayuda.
Gracias de antemano
Salu2


Título: Re: Una ayuda porfa
Publicado por: catalinilla en 15 Octubre 2011, 10:43 am
Muchas gracias a todos.......


Título: Re: Una ayuda porfa
Publicado por: apuromafo CLS en 16 Octubre 2011, 05:40 am
xD desde que comentas de vmprotect ya mataste el apoyo, es que igual pensemos que vas bien llegaste al oep

ahora a reparar la iat, ta toda ok pensemos en un mundo ideal donde 3 o 4 calculos hardcoded no son tanto

pero que pasa con lo ofuscado o virtualizado?, que pasa si hay hook de dll adicionales, que pasa si tiene stolen de recursos?

el otro dia me anime a ver todo lo de vmprotect y creeme, no hay nada concreto que apoye de la version 2.9 en adelante , lo anterior es siempre igual asi que animo y ganas, porque debes primero investigar que tipo de link tiene el exe para saber en como fue compilado nativamente y si tienes stolen oep o no, revisar que si corre unpacked, es porque ta todo ok..

te falta probar primero en todos los otros tipos de packed en diferentes imagebase  y vmprotec diria que es de los ultimos packers a ver, la cantidad de historias son brutales, no son para newbies ni recien iniciados en el tema, ya deben saber depurar aplicaciones desconocidas y reparar todo lo que no corra..

ideas adicionales
1) dumpear en 2 imagebase en diferente y reparar con relox
revisar que tipo de origen es y restaurar el oep en base a stack

revisar la iat, a modo de restaurarla por calculo y no por iat normal

verificar que no haya ningun antidump que estropee nada.. el lio son las detecciones cuando intentas reparar mas...


Título: Re: Una ayuda porfa
Publicado por: catalinilla en 16 Octubre 2011, 19:05 pm
Muchas gracias por la respuesta Apuromafo, voy a ver si se seguir.
Salu2