Título: Desempaquetar archivo Publicado por: NewCracking en 25 Febrero 2013, 23:18 pm Hola, estuve intentando desempaquetar un exe MEW 11 SE 1.2 pero el muy jodido no se deja, intente e intente, seguramente por algun error mio, sin embargo busque alguna guia y encontre estas 2 links para orientarme:
http://skilinium.com/blog/downloads/UnpackingMEW11SE1.2/UnpackingMEW11SE1.2.html (http://skilinium.com/blog/downloads/UnpackingMEW11SE1.2/UnpackingMEW11SE1.2.html) http://foro.elhacker.net/ingenieria_inversa/tutorialcrack_me_02_by_red_mxsimple_packer_mew_12-t337864.0.html (http://foro.elhacker.net/ingenieria_inversa/tutorialcrack_me_02_by_red_mxsimple_packer_mew_12-t337864.0.html) No soy un experto en el tema, sin embargo estuve un buen rato pero lamentablemente no tengo mucho tiempo. Por eso quise acudir a algun experto con un poco de tiempo para que me lo resuelva. Yo ya lo intente y no lo logre, hace 2 horas que estoy y esto no lleva mas que unos minutos y lamentablemente se me acaba el tiempo. Si alguien es tan amable y tiene un poquito de tiempo, le agradeceria que me lo resuelva. :) Tipo de empaquetado: MEW 11 SE 1.2 El archivo es un launcher de un juego, necesito desempaquetarlo para mi propio uso. Por lo que puede saltar alertas en sus anti virus, sin embargo dejo un scan: Antivirus Resultado Actualización Agnitum Packed/MEW 20130225 AhnLab-V3 - 20130225 AntiVir - 20130225 Antiy-AVL - 20130225 Avast - 20130225 AVG Suspicion: unknown virus 20130225 BitDefender - 20130225 ByteHero - 20130221 CAT-QuickHeal - 20130225 ClamAV - 20130225 Commtouch W32/Heuristic-210!Eldorado 20130225 Comodo - 20130225 DrWeb - 20130225 Emsisoft - 20130225 eSafe Win32.Stration 20130211 ESET-NOD32 - 20130225 F-Prot W32/Heuristic-210!Eldorado 20130225 F-Secure - 20130225 Fortinet - 20130225 GData - 20130225 Ikarus IM-Worm.Win32.Sumom 20130225 Jiangmin - 20130225 K7AntiVirus - 20130225 Kaspersky - 20130225 Kingsoft VIRUS_UNKNOWN 20130225 Malwarebytes - 20130225 McAfee - 20130225 McAfee-GW-Edition - 20130225 Microsoft - 20130225 MicroWorld-eScan - 20130225 NANO-Antivirus - 20130225 Norman Suspicious_M.gen 20130225 nProtect - 20130225 Panda Suspicious file 20130225 PCTools - 20130225 Rising - 20130225 Sophos Mal/EncPk-BA 20130225 SUPERAntiSpyware - 20130225 Symantec - 20130225 TheHacker - 20130224 TotalDefense - 20130225 TrendMicro Cryp_MEW-11 20130225 TrendMicro-HouseCall Cryp_MEW-11 20130225 VBA32 - 20130225 VIPRE - 20130225 ViRobot - 20130225 RAR: http://www.mediafire.com/?63b1n3ob0aasrur EXE: http://www.mediafire.com/?9lerpubbbwyaw3u Aver si algun viejo lobo de mar me resuelve el problema :xD Título: Re: Desempaquetar archivo Publicado por: tincopasan en 26 Febrero 2013, 02:32 am por lo que pude ver el oep está en 5BE1D4 push 60 pone un he en esa dirección y despues con el import recupera la iat y dumpealo. Este packer no rompe la iat.
no lo hago porque falta algo ya que en mi pc no corre. Título: Re: Desempaquetar archivo Publicado por: apuromafo CLS en 26 Febrero 2013, 02:59 am entrypoint:
CPU Disasm Address Hex dump Command Comments 02364B58 ^ E9 F7B509FE JMP 00400154 luego vemos: una rutina de descompresion 00400154 BE 1CE02402 MOV ESI,0224E01C 00400159 8BDE MOV EBX,ESI 0040015B AD LODS DWORD PTR DS:[ESI] 0040015C AD LODS DWORD PTR DS:[ESI] 0040015D 50 PUSH EAX si haces un leve scroll CPU Disasm Address Hex dump Command Comments 004001F5 FF53 F4 CALL DWORD PTR DS:[EBX-0C] 004001F8 AB STOS DWORD PTR ES:[EDI] 004001F9 85C0 TEST EAX,EAX 004001FB ^ 75 E5 JNE SHORT 004001E2 004001FD C3 RETN 004001FE 0000 ADD BYTE PTR DS:[EAX],AL 00400200 0000 ADD BYTE PTR DS:[EAX],AL 00400202 0000 ADD BYTE PTR DS:[EAX],AL 00400204 0000 ADD BYTE PTR DS:[EAX],AL 00400206 0000 ADD BYTE PTR DS:[EAX],AL veras que el ultimo comando es un retn, si colocas bp en ejecucion,luego F9 para correr, luego al pulsar f7 llegas al oep OEP(original entrypoint) CPU Disasm Address Hex dump Command Comments 005BE1D4 6A 60 PUSH 60 005BE1D6 68 D0376C00 PUSH 006C37D0 005BE1DB E8 E02E0000 CALL 005C10C0 005BE1E0 BF 94000000 MOV EDI,94 por lo cual queda confirmado el oep dado por tincopasan respecto a la descompresion, me parece mucho que esto que vemos es como un stub de algun juego o algo no puedo seguir mucho CPU Disasm Address Hex dump Command Comments 005BE1F4 FF15 EC926A00 CALL DWORD PTR DS:[6A92EC] este call indica un lugar que no procesa bien pero el hecho es claro..basta que tengas bien tu oep y sepas restar la imagebase o bien copiar el rva saludos Cordiales Apuromafo |