Título: Ayuda en instalador .exe, se ejecuta fuera del debugger :( Publicado por: papelito en 12 Enero 2020, 18:31 pm Buen día amigos, Estoy intentando instalar un software para tv usb.
Inicio la instalación con el x32dbg, al llegar a combase.dll se cierra la aplicación y se abre otra donde pide el Serial que esta fuera del debugger ni en los procesos lo encuentro. (http://imgfz.com/i/2RKjxmc.png) (http://imgfz.com/i/3bsRNQa.png) ¿donde puedo entrar un tutorial para instalaciones parecidas? Gracias MOD: Imagenes adaptadas a lo permitido Título: Re: Ayuda en instalador .exe, se ejecuta fuera del debugger :( Publicado por: MCKSys Argentina en 13 Enero 2020, 01:30 am Hola!
En general, los instaladores extraen en el directorio temporal del usuario (o el del sistema) todo lo necesario para hacer la instalacion y luego ejecutan un EXE desde ahí. Basta con que ejecutes el instalador y mires con Process Explorer (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) (o la tool que prefieras) el path y la linea de comandos con la que se está ejecutando el instalador descomprimido; para poder debugear el EXE descomprimido, usando la misma linea de comandos con la que fue llamado originalmente. Saludos! Título: Re: Ayuda en instalador .exe, se ejecuta fuera del debugger :( Publicado por: apuromafo CLS en 13 Enero 2020, 02:57 am instalador : Installshield, Como vencerlo, investiga al respecto con orca, o bien un buen debugger atachando el proceso correcto conforme te explican
saludos Cordiales Apuromafo Título: Re: Ayuda en instalador .exe, se ejecuta fuera del debugger :( Publicado por: papelito en 15 Enero 2020, 08:40 am Logre conseguir donde descomprimir el instalador ;-) , pero cuando lo veo en con Process Explorer se esta ejecutando como IKernel.exe el instalador.
En la carpeta descomprimida ningun exe abre el software, busque que las dlls y no encontre strings o apis buenas :-(. (http://imgfz.com/i/k2OjXWn.png) Abierto el instalador abri el x64dbg y en vincular logre debuggearlo, logre detenerme en MessageboxA y encontre el call de donde fue llamado pero el software pasa muchisimas veces por el call dword ptr ss:[ebp+0xC] que me llevo 1 ves a MessageBoxA. (http://imgfz.com/i/v3oL8m0.png) Muchísimas Gracias por su tiempo MCKSys Argentina, apuromafo, Bendiciones. MOD: Imagenes adapatadas a lo permitido |