|
Título: [UNPACKME] Un .dll bastante curioso Publicado por: HackerVenezuela en 23 Abril 2015, 18:36 pm Buenas a todos recién encuentro este foro me parece alucinante excelentes temas y un gran compañerismo entre la comunidad...
Antes de hacer mi primer post he revisado muchos tutoriales y herramientas, consejos etc. que han dejado por aquí y bueno me he interesado mucho por la ingeniería inversa y en todo lo que se puede hacer con ella, lo que me lleva a la razón principal de este post en mi aprendizaje me he encontrado con este .dll el cual es bastante curioso porque me ha dado bastante en que esforzarme y como no hay tutoriales de este tipo de archivos pues no he podido dar con la solución. Espero puedan tomarse un tiempo y revisarlo quienes crean poder resolverlo y hacer un tutorial de ello ya que como ya dije creo que no hay tutoriales parecidos. Acá dejo el link del archivo http://www20.zippyshare.com/v/AmZsa99X/file.html (http://www20.zippyshare.com/v/AmZsa99X/file.html) PD -No soy muy diestro me considero 3/10 -Me parece que esta packeado con ASPack 2.12 Título: Re: [UNPACKME] Un .dll bastante curioso Publicado por: MCKSys Argentina en 23 Abril 2015, 19:31 pm Hola!
y como no hay tutoriales de este tipo de archivos pues no he podido dar con la solución. Donde has buscado tutoriales? El foro tiene un FAQ (https://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo_aprende_ingenieria_inversa_desde_cero-t345798.0.html) el cual posee mucha informacion para quienes no saben por donde comenzar. Si quieres tutoriales sobre unpacking, busca en la web de ricardo narvaja. Seguro que encontrarás varios. Para que lo tengas en cuenta: en este foro podemos ayudarte con preguntas especificas. Si empiezas a analizar la DLL por tus medios y te trabas, puedes preguntar sin problemas. Pero si no demuestras un avance, no podemos ayudarte. Por lo pronto, si ya tienes un cierto conocimiento, puedes buscar en la web de ricardo como desempacar AsPack 2.12 (No es nada del otro mundo). A partir de ahí, puedes aplicarlo en la DLL. Saludos! Título: Re: [UNPACKME] Un .dll bastante curioso Publicado por: tincopasan en 23 Abril 2015, 19:51 pm "-Me parece que esta packeado con ASPack 2.12"
pues ya comienzas mal! para aprender hay que leer y practicar. lo primero que dicen todos los tutoriales es que hay que usar detectores de signaturas para saber si tiene packer o lenguaje de compilación.Cuando avances en tus estudios conocerás los EP de los packers y los OEP de los lenguajes. Sobre aspack hay miles de tutoriales y como ya te dijeron es muy simple. Un exe y una dll es basicamente lo mismo para trabajarla. subis un archivo que que ni has probado si necesita dependencias para poderlo trabajar, ya que de por si solo pide otra dll(que es fácil de conseguir)pero sería mejor que pruebes que sea funcional para todos los que quieran verlo. "-No soy muy diestro me considero 3/10" pues eres muy vanidoso, por tus dudas y planteos diría 1/10 Título: Re: [UNPACKME] Un .dll bastante curioso Publicado por: HackerVenezuela en 23 Abril 2015, 20:46 pm Gracias @MCKSys Argentina justamente en las faq he encontrado toda la informacion y tambien he visto en la pagina de ricardo narvaja un error mio fue no colocar imágenes :P para que pudieran ayudarme mas específicamente... en un siguiente mensaje estaré anexando inquietudes e imágenes mas claras.
@tincopasan Gracias por contestar amigo, aunque tu respuesta sea una critica hacia mi y que no me sirvió mucho porque ya me lo había dejado claro el Moderador. Sólo me has dejado una incógnita la cual me parece bastante interesante Citar subis un archivo que que ni has probado si necesita dependencias para poderlo trabajar, ya que de por si solo pide otra dll(que es fácil de conseguir)pero sería mejor que pruebes que sea funcional para todos los que quieran verlo. Existe una forma de saberlo me refiero a saber si la dll necesita otra? en dado caso que si muéstrame ¿como? solo quiero sacar algo positivo de este post. Se que pareciera que no se nada pero la verdad si use un detector de signaturas, he usado RDG Packer Detector que ya conocía y que me ha arrojado el resultado de que estaba packeado con ASPack 2.12 porque si leí y estudie antes de hacer este post no quería publicar algo sin saber nada al respecto (lo cual seria estúpido aunque por tu actitud me parece que ya lo han hecho antes) y lo he colocado en OllyDBG para hacer todo lo correspondiente para unpackearlo y allí han empezado mis problemas... No pretendía ni pretendo que lo hagan por mi porque si lo hacen yo personalmente no estoy ganando experiencia ni aprendo nada de ello :S lo que me ha sucedido es que venia con buen pie aprendiendo otras cosas, tutos todo excelente y sin trabarme entonces pss me he trabado xD lo cual me molesta y por eso he pedido ayuda. Salu2 y Gracias. Título: Re: [UNPACKME] Un .dll bastante curioso Publicado por: tincopasan en 23 Abril 2015, 21:46 pm 1)Si usaste rdg detector y algún otro como peid por ejemplo, y marcan que tiene aspack, es de los packer faciles y no poliformicos no hay forma que los detectores fallen, entonces tendrías que haber dicho tiene Aspack.
2)la mejor forma de probar un exe o una dll que no necesiten dependencias es tener un windows limpio en una VM y hay probar si por lo menos el olly lo carga. 3)y como te han dicho debes mostrar algún tipo de avance y donde especificamente tienes problemas. 4)MCKSys y muchos más te pueden orientar facilmente si ven lo que has hecho. 5) y tenés razón en que muchos entran y piden sin hacer nada. quizá no sea tu caso pero debes demostrarlo. Título: Re: [UNPACKME] Un .dll bastante curioso Publicado por: HackerVenezuela en 24 Abril 2015, 03:54 am Gracias por la respuesta tincopasan aqui están las imagenes
Nª 1 Este es el resultado del escaneo con RDG (http://i62.tinypic.com/2wqbuac.jpg) Nª 2 He colocado el ESP en el dump y he procedido ha colocarle el breakpoint pero no se porque Olly no me deja hacerlo (http://i59.tinypic.com/nc02c.jpg) Nª 3 He intentado con otro metodo conocido que es ctrl+f retn 0c aparece algo que me es desconocido. :-( (http://i58.tinypic.com/2lnjvyr.jpg) Nª 4 Esta es la configuración de mi Olly (http://i58.tinypic.com/k3ur76.jpg) PD: Me parece que se puede hacer todo de manera normal como en todos los tutoriales pero algo sucede con mi Olly... deberia usar otro debugger? Título: Re: [UNPACKME] Un .dll bastante curioso Publicado por: MCKSys Argentina en 24 Abril 2015, 05:29 am deberia usar otro debugger? Deberías usar otro Sistema Operativo. Veo que estás debuggeando en Win 8 u 8.1. Todos los plugines de Olly (y el Olly mismo) tendrán problemas en esos SOs. Incluso en Win 7 x64 también los tendrás. La recomendación siempre es usar una VM (VMWare o VirtualBox) con un Windows XP SP3. A lo sumo un Win 7 pero x86. Saludos! Título: Re: [UNPACKME] Un .dll bastante curioso Publicado por: HackerVenezuela en 24 Abril 2015, 14:17 pm Gracias MCKSys Argentina ya me ando descargando una VM :D XP SP3 ya que en esas versiones de windows no habia tanta seguridad y control con los permisos de admin y esos protocolos.
Título: Re: [UNPACKME] Un .dll bastante curioso Publicado por: .:UND3R:. en 25 Abril 2015, 03:19 am Gracias MCKSys Argentina ya me ando descargando una VM :D XP SP3 ya que en esas versiones de windows no habia tanta seguridad y control con los permisos de admin y esos protocolos. No tiene que ver con eso, tiene que ver puntualmente con compatibilidad Título: Re: [UNPACKME] Un .dll bastante curioso Publicado por: HackerVenezuela en 25 Abril 2015, 15:58 pm Gracias a todos por la ayuda ya casi termino con el unpack tengo una ultima duda he llegado al OEP perfectamente en mi caso es 00401070 pero ahora debo reparar la IAT para lo cual usare el plugin OllyDump queria usar un programa Rebuilder o algo parecido pero ninguno acepta .dll por si solas asi que no se que hacer...
El OEP (http://i61.tinypic.com/vhqntj.jpg) Antes de Dumpear no se si deberia clickear en dump y probar suerte :huh: (http://i61.tinypic.com/szhb29.jpg) |