|
Título: [PROBLEMA] OLLYDBG, OLLYDUMP Publicado por: Sadistski en 18 Enero 2017, 02:13 am Hola... estaba haciendo esta guía
http://ricardonarvaja/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1360-Desempacado%20de%20PECompact%202.5x%20-%202.7x%20por%20ZiKaTRiZ.rar con el objetivo de desempacar una DLL comprimida con PECOMPACT.... hice todo bien, hasta que llegé al OEP.... use OLLYDUMP para intentar dumpear el contenido, cuando de repente me sale este mensaje unable to read memory of debugged process y (004583494....898986) y BAD DOS SIGNATURE!! o algo asi..alguien sabe que esta mal? :(... busque en internet pero no encontre nada ....:/ Título: Re: [PROBLEMA] OLLYDBG, OLLYDUMP Publicado por: tincopasan en 18 Enero 2017, 02:33 am ¿es exactamente el mismo programa que estás usando? sino hay varias causas posibles, entre ellas que el programador haya implementado rutinas antidebug, puede ser con varios métodos: copieando la información PE en un archivo externo, leyendo la memoria y verificando que no haya cambios de integridad,etc.
podrías probar dumpear de otra forma, con Scylla por ejemplo. EN todo caso también pódes poner un link del exe para que los que saben lo vean, porque sino es adivinar entre todas las posibles causas. Dicho sea de paso, esto debería ir en ingeniería inversa. Título: Re: [PROBLEMA] OLLYDBG, OLLYDUMP Publicado por: Sadistski en 18 Enero 2017, 04:32 am si... ocupo OLLYDBG igual que el autor del tutorial...
el exe pesa como 8gb... casi imposible.. intentare dumpearlo con scylla... a ver que sale, edito si resulta.. gracias Título: Re: [PROBLEMA] OLLYDBG, OLLYDUMP Publicado por: apuromafo CLS en 30 Enero 2017, 22:00 pm en el pasado para dumpear se usaba lord pe porque si no tenia permisos de memoria (lectura ) el programa usaba una opcion que si le daba permisos o lo llenaba con ceros...
por otro lado scylla esta pensado cuando ya no estas en windows xp, sino mas bien en windows 7,8,8.1 , 10, esto es porque la iat ya no trabaja siempre con las mismas apis (jmp api), sino mas bien un (trozo de api y luego jmp api) ademas de posibles randomizacion y cambios de direcciones (cada vez que ejecutas el exe se ejecuta en direcciones diferentes segun tenga sus opciones respecto al bad signature, posiblemente sea que hay trucos adicionales , recuerdo uno que hacia apuntar al pe header que tenia x secciones, y solo tenia un numero muy menor haciendo crashear al import rec y a otros, siguiendo con el tema que es "dll " recuerda que debes hacer 2 dump con diferente imagebase dado que deberas reparar los reloc herramientas de unpacking siempre existen desde quickunpack para xp, herramientas como unpacker de pecompact de nachodj, unpacker de pecompact de FUU de NCR ([F]aster niversal npacker ) y lo mas delicado es que si necesitas ensayar deberas siempre hacer el proceso con algo conocido (de menor tamaño) antes de intentar algo de 8gb Saludos cordiales Apuromafo Título: Re: [PROBLEMA] OLLYDBG, OLLYDUMP Publicado por: Sadistski en 5 Febrero 2017, 04:22 am hola, gracias a todos los que se dieron la molestia de responder en el tema.
El asunto es que es un juego EXE de 8gb STEAM.... pero los dlls que trae instalado (uno de ellos lo probe con el cheat engine y me dice que trae la funcion que quiero cambiar) son el EMULADOR que permite jugar sin tener una cuenta de STEAM. la dll que estoy intentando desempacar es la que supuestamente trae la STEAM ID que ocupo, ademas de otros datos. Busqué en la página del autor pero no fue posible una respuesta sobrer como desempacar la dll... por eso vine a preguntar aquí.. no funciono con scylla, pero vere lo que falta por hacer, por ultimo si no se puede primero vere todo lo que se puede hacer. saludos. |