Foro de elhacker.net

Hola gente estoy asiendo pruevas con el asprotect y empaque un ejecutable hecho por mi y logre llegar a el OEP basandome en el original al reparar el IAT con el ImportReconstructor sale Yes todo pero al querer ejecutar el exe desempacado no se ejecuta, nose por que, es lo que quiero que me digan que me hace falta...
Lo que pienso es que el IAT no quedo todo reparado, creo que las direcciones apuntan como si estubiera empacado con el Asprotect bueno eso es lo que pienso pero nose como repararlo.

Saludos flamer y tincopasan aver si me puedes ayudar ya que siempre has estado presente en mis mensajes publicos gracias por tu ayuda

Link de muestras.

ultrashare.net/hosting/fl/7d80f0060d
 (http://ultrashare.net/hosting/fl/7d80f0060d)

Nota: perdonen las faltas de ortografia

flamer:
            por lo poco que pude ver te falta resolver los saltos emulados a la iat.
si miras arriba del oep tenes:
00401250  - FF25 60104000   JMP DWORD PTR DS:[<&msvbvm60.EVENT_SINK_>; msvbvm60.EVENT_SINK_Release
00401256  - FF25 A4104000   JMP DWORD PTR DS:[<&msvbvm60.ThunRTMain>>; msvbvm60.ThunRTMain

¿notas que te faltan muchas llamadas a la  iat? comparalo con el original

ahora bien justo más arriba veras:
00401202    E8 F9EDBE00     CALL 00FF0000
0040122C    E8 CFEDBE00     CALL 00FF0000

sino ves eso es que tenes que remover el analisis del code, bueno esas son call a las api emuladas por asprotect y te faltan resolverlas.

como soy muy perro para explicar te recomiendo este tute:
http://ricardonarvaja.info/WEB/CONCURSOS%202011/CONCURSO%207/UnPacking_KeyGening_KeygenME3%20(VB)%20ASProtect%20SKE%20v2.56%20+%20%5bScript%5d_By_InDuLgEo.rar

cualquier duda pregunta! saludos

gracias tinco boy a leer el tutorial y cualquier duda boy a preguntar

saludos

pues asprotect no es nada facil, aveces se te van detalles

1) hay asprotect que en xp se desempacan a mano, y al abrir en vista estan registrados(raro pero ocurria en muchos de los que conoci)

2)  hay plugins que facilitan, pero basta que tenga sdk y ya todo se va para abajo

3) es muy diferente desempacar con la licencia(asprotect,dongle)  que sin estos presentes

4)  respecto al escrito de indulgeo recuerdo que cuando use el plugin Codedoctor en olly 1.1 encontre algo para complementar el script de indulgeo

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1390-%20complemento%20al%20unpack%20con%20codedoctor_asprotect%20del%20concurso.7z


eso, actualmente es lo que te dice tincopasan, si quieres desempacar por tool existe el codedoctor como plugin, y como externos, hay 2 o 3 tools, algunas script de volx, otras como unpacker de pekill, y otra como stripper

saludos Cordiales Apuromafo


pd:es para mi siempre factible usar tools por tema de tiempo, pero no siempre hago uso de ellas

respecto a mis sugerencias, pues si quieres saber mas opciones de asprotect, deberias entrar en los ataques de rsa que posee(keygening en asprotect en Unpack.cn), por otro lado  la maquina virtual de asprotect es realmente densa, deroko dio un solo paper(era algo simple el que muestra, la actual tiene mas instrucciones), pero solo son de las sdk complicadas, por otro lado hay teams que se han dedicado por completo en estos temas y tienen mas experiencias...Team Res es uno de ellos

bueno, eso cuidate bro y suerte en el unpack

si quieres probar un unpacked que resulte:
http://forum.tuts4you.com/topic/28653-decomas-v17-b1-asprotect-unpacker-by-pe-kill/?hl=decomas

luego lo editas manual lo otro ;)  saludos

gracias por el apoyo apuromafo boy aver los link, ya que estoy asiendo pruebas con el asprotect en mis ratos libres, pero a veces me enfada y a veces le sigo.

Lo que me interesaba es saber como reparar el archivo, no e leido los tutos pero ya los baje y pienso que simeban a servir

saludos flamer y gracias a los dos

Ciertamente si el Asprotect es completo suele resultar muy complejo.
Tena hizo un tute muy bueno, no recuerdo el número pero está en la web de Ricardo.

Yo el último que analicé me pegué muchísimo tiempo hasta desempacarlo y hacerlo funcionar, porque hacía uso de máquina virtual, stolen bytes, llamadas intermodulares redirigidas al packer, IAT destrozada y emulada y encima como era un Delphi pues las llamadas de inicialización/finalización también hechas polvo.

Como te han dicho apuromafo y tincopasan yo también usé codedoctor, es excelente pero no te fies de él al 100%. Mi consejo es que analices programas hechos con el mismo compilador. Por ej. si analizas un Delphi6, busca otros Delphi 6 para comparar...

Suerte...