Foro de elhacker.net

estaba empacado con telock, lo desempaco y cuando lo ejecuto en olly se cierra, y el exe original (empacado) funciona bien, alguna idea??

Fuera del Olly corre bien?

Me refiero al desempacado...

Nox.

Fuera del olly pasa exactax lo mismo q en olly, el exe original va bien, el desempacado (estaba empacado con telock y lo desempaque con VMUnpacker) y ha subido unos 3 megas de tamaño, se cierra, y me abre un monton de ventanas de mis documentos, a veces 2 o 3, otras veces entra en bucle y tengo q cerrar el programa para q pare de abrir mas ventanas. Igual q en olly, el original bien, el desempacado se cierra. He probado con HideOd, phantom, pero nada.

Quizas lo que esta detectando es el desempacado y no el debugger...

hola de nuevo, gracias eres el unico que aunque sin soluciones, ni ninguna teoria para poner en prueba me estas echando una mano.
Explicate por favor, porq no entiendo lo q quieres decir.
Por lo que veo es que SIN DESEMPACAR corre bien el programa tanto en olly como sin el, y una vez que LO DESEMPACO se cierra y me abre ventanas de MIS DOCUMENTOS tanto en olly como sin el.
Vale, vale.... lo entendi ahora mismo.



Entonces en caso de que el PROGRAMA DESEMPACO detecte que esta DESEMPACADO como hago para que el PROGRAMA DESEMPACADO no lo sepa, o no lo vea.

Debes buscar el lugar donde hace los chequeos.

Si el chequeo lo hace contra el EXE original, puedes poner un BP en CreateFile y ver cuando se abre a si mismo. Desde ahi puedes tracear hasta el lugar del chequeo per-se.

Ahora, si hace el chequeo en memoria, es mas dificil de encontrarlo. Deberas tracear haci atras desde el punto donde hace todas esas "cosas raras" que has dicho.

Saludos!

probaría verificando el tamaño del archivo empacado, es decir le agregaría unos bytes para ver si funciona igual(comprobación de tamaño) y no aclaraste si el programa dumpeado le pusiste el mismo nombre (a veces hay comprobación de nombre) es lo más fácil que se me ocurre probar

bueno, le cambie el nombre de unpacked por el nombre original, pero sigue igual, si pudiera dejarlo estable (el desempacado) podria usar el dede, el icr, el resource hacker,

El otro dia traceando encontre un serial, que probe y funciono (el programa abre archivos del nba 2k11, nba 2k12, mlb 2k11, nba 2k11 xbox360, y tiene dos opciones mas que quiere vender el tio tambien), vi q hacia una comprobacion con el mi nombre de usuario, y dos constantes mas... total hice unos calculos, Y FUNCIONO!!!!

Agradeceria ayuda para dejar estable el desempacado

has lo que te dice MCKSys Argentina   :silbar:

por ejemplo si es lo primero que él te dice y se te hace engorroso "bypassear" eso, puedes cambiar la ruta al del exe original...

Saludos.

se que nadie le importaba este tema, pero quiero revivirlo un poco aprovechando un privado de un usuario que me llegó
veamos las hazañas

1) estaba empacado con telock
2) luego de correr en runtime, desde el mismo EP, uno va a los 2 saltos tiene el oep
3) luego de reconstruir la iat (engorrosa iat tiene telock 1)
me puse mejor a buscar mis tools de unpacking y resultó, pero el oep estaba mal, asi que corregido, corre, por otro lado
abre unas 32 ventanas de mis documentos,
tiene a lo menos 2 forms de antidebug
1)la primera form ataca a los monitores, drivers y otros
2) la segunda form ataca a el Mutex (una variable que aparece buscando la ventana, si la encuentra da el error y te abre 30 o mas ventanas..

luego de vencida las 2 antidebug, hay que buscar como registrar, ahi voy...supongo que con ese paso de avance deberia ser suficiente demostrar que con un poco de ing inversa es posible resolverla...
saludos Apuromafo
pd:no sirve nada de createfileA, ni similar, estos tienen otra estrategia..(pillar el debugger y cerrar ventanas o fastidiar abriendo ventanas)

telock no es dificil solo requiere paciencia, conocer el depurador, y los trucos antidebug

s^^