últimos mensajes de: apuromafo CLS - Página 125

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

2 Mayo 2024, 12:45 pm

Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware

Mostrar Mensajes
Páginas: 1 ... 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 [125] 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

1241	Programación / Ingeniería Inversa / Re: Ayuda ASProtect SKE 2.1x o 2.2	en: 3 Agosto 2010, 21:55 pm
Cita de: MCKSys Argentina en 3 Agosto 2010, 19:36 pm U!!!! Pero qué pedazo de log!!! ja,ja,ja,ja,ja... sip, era muy largo, prefiero enviar el unpacked , mas su log , mas la dll que desempacaba de memoria del asprotect mas la dll que necesita para funcionar, pues no estan parchado los enveloped check que son los skd del programa por lo demas, creo que desempacado la pregunta es otra, como va a arreglar el exe para que se vea mas estetico.. saludos Apuromafo

1242	Programación / Ingeniería Inversa / Re: Ayuda ASProtect SKE 2.1x o 2.2	en: 3 Agosto 2010, 19:31 pm
para borrar..

1243	Programación / Ingeniería Inversa / Re: Ayuda ASProtect SKE 2.1x o 2.2	en: 3 Agosto 2010, 00:37 am
si hablan de unpacker, deben hablar segun la version yo de los script conozco el de volx y vi tambien sus updates, pero el mejor uso lo veo en el plugin llamado CODEDOCTOR de hedneka, en sus opciones tiene uno que desempaca hasta los 2.5x yo creo que un buen olly con strong OD o phanthom mas ese plugin, creara un dumped Funcional, lo de la iat, ya es otra historia asprotect ultimamente en los sdk esta colocando muchas funciones que se parecen a las de armadillo, o algun otro packer, no alcanzo a explicar mucho, pero se que es posible desempacar cualquier asprotect, pero si tiene alguna encriptacion que no puede desencritpar ese programa, es porque realmente necesita de una clave valida.. saludos Apuromafo pd: http://tuts4you.com/download.php?view.2834 bajarlo directo: http://tuts4you.com/request.php?2834 para mi es ollydbg con sus plugin y agregar esta dll, elegir la opcion unpacker y esta ok. leer esto: 7) AsProtect Unpacker This will unpack file packed by AsProtect, fix it, dump asprotect.dll and print various information to text file. Please report targets, where it fails. Limitations: 1) Doesn't find or fix SDK functions in 1.x versions (you need to find these manually). There are two types of these. One has a form of one or more functions called before OEP, that do various initializations. If they are not run, the program may appear expired or not run at all. Find them and run them :-) The second type is run after OEP and hides behind GetProcAddress with special parameters, which AsProtect (if available) redirects to its own code. You need to deal with these manually. 2) in 2.30 - 2.51, there are two types of stolen functions - one is PolyOEP style, the other is virtualized; it can fix only the former, while the latter is used in AsProtect itself only 3) it doesn't find CRC or envelope checks, but it can prevent one type of envelope check, which checks for E8 in jumps to API 4) it doesn't decrypt encrypted parts or sections 5) it doesn't find serial, fix trial etc. 6) if it has overlay, it may be broken after unpacking (for example if it needs to be in fixed offset in file or if it's a certificate) Bugs: - doesn't work with certain 1.10 variations, I will fix this when I have time Notes: - after unpacking files protected by AsProtect 2.x, you may need aspr_ide.dll; get it from aspack.com and modify if needed noticia:3/8/10 tengo un unpacked: usando el codedoctor hay un log, pero ahi le vi un poco largo para ayudar un poco comienza con este pseudounpacked si aun no lo tienes desempacado: enlace unpacked proposito educacional: http://www.mediafire.com/?x1mmrphjtch9hjf mas o menos asi deberia reconstruirse el EP : cuando ya esta mas o menos des-virtualizado Citar 009C0000 55 PUSH EBP 009C0001 8BEC MOV EBP,ESP 009C0003 6A FF PUSH -1 009C0005 68 08234200 PUSH 422308 009C000A 68 88934100 PUSH 419388 ; Entry address 009C000F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 009C0015 50 PUSH EAX 009C0016 64:8925 00000000 MOV DWORD PTR FS:[0],ESP 009C001D 83EC 58 SUB ESP,58 009C0020 53 PUSH EBX 009C0021 56 PUSH ESI 009C0022 57 PUSH EDI 009C0023 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 009C0026 FF15 40214200 CALL DWORD PTR DS:[<&KERNEL32.GetVersion>; kernel32.GetVersion 009C002C 33D2 XOR EDX,EDX 009C002E 8AD4 MOV DL,AH 009C0030 8915 14784800 MOV DWORD PTR DS:[487814],EDX 009C0036 8BC8 MOV ECX,EAX 009C0038 81E1 FF000000 AND ECX,0FF 009C003E 890D 10784800 MOV DWORD PTR DS:[487810],ECX 009C0044 C1E1 08 SHL ECX,8 009C0047 03CA ADD ECX,EDX 009C0049 890D 0C784800 MOV DWORD PTR DS:[48780C],ECX 009C004F C1E8 10 SHR EAX,10 009C0052 A3 08784800 MOV DWORD PTR DS:[487808],EAX 009C0057 33F6 XOR ESI,ESI 009C0059 6A 00 PUSH 0 009C005B E8 EAB8A5FF CALL desempac.0041B94A 009C0060 59 POP ECX 009C0061 85C0 TEST EAX,EAX 009C0063 -0F85 AD12AEFF JNZ desempac.004A1316 009C0069 6A 1C PUSH 1C 009C006B E8 6606AEFF CALL desempac.004A06D6 009C0070 59 POP ECX 009C0071 8975 FC MOV DWORD PTR SS:[EBP-4],ESI 009C0074 E8 F4ECADFF CALL desempac.0049ED6D 009C0079 FF15 44214200 CALL DWORD PTR DS:[<&KERNEL32.GetCommand>; kernel32.GetCommandLineA 009C007F A3 688E4800 MOV DWORD PTR DS:[488E68],EAX 009C0084 E8 68FDADFF CALL desempac.0049FDF1 009C0089 A3 70784800 MOV DWORD PTR DS:[487870],EAX 009C008E E8 E111AEFF CALL desempac.004A1274 009C0093 E8 4512AEFF CALL desempac.004A12DD 009C0098 E8 6A04AEFF CALL desempac.004A0507 009C009D 8975 D0 MOV DWORD PTR SS:[EBP-30],ESI 009C00A0 8D45 A4 LEA EAX,DWORD PTR SS:[EBP-5C] 009C00A3 50 PUSH EAX 009C00A4 FF15 48214200 CALL DWORD PTR DS:[<&KERNEL32.GetStartup>; kernel32.GetStartupInfoA 009C00AA E8 160EAEFF CALL desempac.004A0EC5 009C00AF 8945 9C MOV DWORD PTR SS:[EBP-64],EAX 009C00B2 F645 D0 01 TEST BYTE PTR SS:[EBP-30],1 009C00B6 -0F84 17F9ADFF JE desempac.0049F9D3 009C00BC 0FB745 D4 MOVZX EAX,WORD PTR SS:[EBP-2C] 009C00C0 50 PUSH EAX 009C00C1 FF75 9C PUSH DWORD PTR SS:[EBP-64] 009C00C4 56 PUSH ESI 009C00C5 56 PUSH ESI 009C00C6 FF15 4C214200 CALL DWORD PTR DS:[<&KERNEL32.GetModuleH>; kernel32.GetModuleHandleA 009C00CC 50 PUSH EAX 009C00CD E8 B70EAEFF CALL desempac.004A0F89 009C00D2 8945 A0 MOV DWORD PTR SS:[EBP-60],EAX 009C00D5 50 PUSH EAX 009C00D6 E8 DD90A5FF CALL desempac.004191B8 009C00DB 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14] 009C00DE 8B08 MOV ECX,DWORD PTR DS:[EAX] 009C00E0 8B09 MOV ECX,DWORD PTR DS:[ECX] 009C00E2 894D 98 MOV DWORD PTR SS:[EBP-68],ECX 009C00E5 50 PUSH EAX 009C00E6 51 PUSH ECX 009C00E7 E8 9ECFA5FF CALL desempac.0041D08A 009C00EC 59 POP ECX 009C00ED 59 POP ECX 009C00EE C3 RETN

1244	Programación / Ingeniería Inversa / Re: Quitando una contraseña de macro de excel por Apuromafo	en: 3 Agosto 2010, 00:30 am
okis saludos http://ricardonarvaja.info.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1201-1300/1264-Quitando%20una%20contrase%c3%b1a%20de%20una%20macro%20en%20Excel%20by%20Apuromafo.pdf

1245	Programación / Ingeniería Inversa / Re: Offsets con el olly	en: 3 Agosto 2010, 00:19 am
eso es para cambiar un salto, tambien es posible aveces forzarlo mas je a jmp o je a NOP igual los offset son direcciones, entender que cambiar, es lo que se aprende, te sugiero que leas el curso de ricardonarvaja, cuando termines lee este mismo toppic y creo que tu mismo vas a decir la respuesta. saludos Apuromafo Cls

1246	Programación / Ingeniería Inversa / Re: El OllyDBg no me deja abrir este exe de 500kb (¿Compressed Code?)	en: 18 Mayo 2010, 22:42 pm
pasa que el programa no esta realmente en su propio lenguaje, esta con algo ofuscado, o bien algun packer para iniciar, ahora bien, donde comienza esto? CPU Disasm Address Hex dump Command Comments 004019A8 E8 00000000 CALL 004019AD 004019AD 58 POP EAX 004019AE BB AD190000 MOV EBX,19AD 004019B3 2BC3 SUB EAX,EBX 004019B5 50 PUSH EAX 004019B6 68 00004000 PUSH OFFSET gaifr.00400000 004019BB 68 B01C0000 PUSH 1CB0 004019C0 68 80000000 PUSH 80 004019C5 E8 35FFFFFF CALL 004018FF 004019CA ^ E9 99FFFFFF JMP 00401968 si vamos de a poco, va desempacando en memoria, pulsando f7/f8 --------------------------- PMIFRPanel --------------------------- Run-time error '53': File not found --------------------------- Aceptar --------------------------- mas o menos desde Citar CPU Disasm Address Hex dump Command Comments 08E992C6 68 1C22EB08 PUSH 8EB221C ; ASCII "RaiseException %s(%x) flags=%x num_args=%x caller_addr=%s:0x%x %s " 08E992CB E8 9EA2FDFF CALL 08E7356E 08E992D0 83C4 20 ADD ESP,20 08E992D3 E8 5FF9FFFF CALL 08E98C37 08E992D8 84C0 TEST AL,AL 08E992DA 5B POP EBX 08E992DB 74 09 JE SHORT 08E992E6 08E992DD FF75 08 PUSH DWORD PTR SS:[EBP+8] 08E992E0 E8 64FDFFFF CALL 08E99049 08E992E5 59 POP ECX 08E992E6 8B4D 10 MOV ECX,DWORD PTR SS:[EBP+10] 08E992E9 834D FC FF OR DWORD PTR SS:[EBP-4],FFFFFFFF 08E992ED 85C9 TEST ECX,ECX 08E992EF 74 05 JE SHORT 08E992F6 08E992F1 E8 2F07FFFF CALL 08E89A25 08E992F6 8B4D F4 MOV ECX,DWORD PTR SS:[EBP-0C] 08E992F9 5F POP EDI 08E992FA 5E POP ESI 08E992FB 64:890D 0000000 MOV DWORD PTR FS:[0],ECX 08E99302 C9 LEAVE 08E99303 C2 1800 RETN 18 08E99306 55 PUSH EBP 08E99307 8BEC MOV EBP,ESP 08E99309 51 PUSH ECX 08E9930A 51 PUSH ECX 08E9930B 896D FC MOV DWORD PTR SS:[EBP-4],EBP 08E9930E 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 08E99314 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX 08E99317 FF75 14 PUSH DWORD PTR SS:[EBP+14] 08E9931A 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 08E9931D FF75 10 PUSH DWORD PTR SS:[EBP+10] 08E99320 FF75 0C PUSH DWORD PTR SS:[EBP+0C] 08E99323 FF75 08 PUSH DWORD PTR SS:[EBP+8] 08E99326 FF70 04 PUSH DWORD PTR DS:[EAX+4] 08E99329 FF75 F8 PUSH DWORD PTR SS:[EBP-8] 08E9932C E8 C3FEFFFF CALL 08E991F4 08E99331 FF75 14 PUSH DWORD PTR SS:[EBP+14] 08E99334 FF75 10 PUSH DWORD PTR SS:[EBP+10] 08E99337 FF75 0C PUSH DWORD PTR SS:[EBP+0C] 08E9933A FF75 08 PUSH DWORD PTR SS:[EBP+8] 08E9933D FF15 74B2EA08 CALL DWORD PTR DS:[8EAB274] 08E99343 C9 LEAVE 08E99344 C2 1000 RETN 10 se supone que busca algo..y da eror de runtime ahora bien el OEP (original entrypoint) de donde debes desempacar esta en: CPU Disasm Address Hex dump Command Comments 004070C8 68 10944000 PUSH gaifr.00409410 ; ASCII "VB5!6&*" 004070CD E8 EEFFFFFF CALL <JMP.ThunRTMain> ; Jump to MSVBVM60.ThunRTMain sugiero que leas algo de http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html igual creo que debe ser mas o menos de esta pagina: Citar http://www.schiratti.com/ creo que mas especificamente de aqui: Citar http://www.projectmagenta.com/downloads/demos.html revisaba y sip, corresponde a una version 0...+1 de la que tienes , pero parece que debes ademas de depurar, quitar algunas excepciones, no es un tema facil desempacar este tema, sino mas bien encontrar la limitacion, Cual es la limitacion de este programa? amm.. cuando te aparece que el programa is compreses, colocas ok, sip, esta comprimido, no he visto que packer, pero no parece llamar directamente al oep de la aplicacion de vb, sino llama a getcommandline y otras apis para mapear espacio y esas cosas. ojala alguien del foro tenga mas tiempo que yo..solo lo vi 1 minuto..bajar de un ciber es complicado.

1247	Programación / Ingeniería Inversa / Re: El OllyDBg no me deja abrir este exe de 500kb (¿Compressed Code?)	en: 15 Mayo 2010, 21:31 pm
El archivo al que está intentando acceder está temporalmente desactivado. aun no lo veo ..puede que sea en otro formato, ~~como por ejemplo 16 bytes.. y no en 32..intenta analizar con rdg, por si hay algun packer o algo.~~ puedes abrirlo, lo que no puedes es desempacar del todo., o bien no sabes donde llegar al oep, yo tampoco lo veo facil, pero no creo que sea imposible.

1248	Programación / Ingeniería Inversa / Re: Crackear un bot	en: 29 Enero 2009, 22:41 pm
QUE YO SEPA..toda informacion basada en usuario y serial deberia tener alguna forma de comunicarse con el servidor para cierta informacion puedes tener el exe..pero quizas esa informacion, si no usas snifer dificil que logres capturar algo de info.. por lo demas crackear algo con comunicacion a internet no es nada facil..para nadie.

1249	Programación / Ingeniería Inversa / Re: Problema con Unpacker Execryptor	en: 29 Enero 2009, 22:40 pm
el tutorial que debes leer es el de evolution, ahora bien si quieres entenderlo deberas leer todas las teorias de ricardo narvaja..ya casi en las finales , luego de explicado todo desempaca un execryptor actualmente hay 2 unpackers de RSI que son buenos.. pero normalmente el tutorial de solid y tena al llegar al oep, dumpear y reparar..dejan la tls y logra ejecutarse en todos los S.O cual es la complicacion de tu packed? encontrar el oep? o simplemente lograr ejecutarlO? yo no hace mucho puse como desempacar un execryptor..en este mismo foro.. y hay tantos tutoriales que decir que no hay info seria sarcastico.. creo que es bueno que intentes con el Unpacker de rsI

1250	Programación / Ingeniería Inversa / Re: Destripando programa, pROBLEmon para experton	en: 29 Enero 2009, 22:31 pm
intenta leer para realmente lograr lo que buscas..y lo editas.. busca leer antes de postear, comenzando desde 0 con el tutorial de ricardo.. no es diferente de crackear algo.. ejecutar simplemente,y mirar las referencias si sacas la informacion que necesitas

Páginas: 1 ... 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 [125] 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines