| |
|
431
|
Programación / Ingeniería Inversa / Re: unpacking asprotect fail
|
en: 3 Agosto 2013, 03:18 am
|
|
mandame ese asprotect al privado, solo para matar un poco las dudas(version, opciones y cosas asi antes decias que podia ser aspack, luego sacaste que era asprotect...deja checkear la app, pero por privado)
por otro lado, el faq de acá es el primero, asprotect irá casi en los packers cuando ya dominan lo básico
Digamos esto, existe un formato de PE de los exes, el cual no es modificado, pero digamos que asprotect tiene ANTI CRC, tiene antidebug, tiene redireccion de iat, tiene stolen code , tiene destruccion de las entradas de iat, tiene sdk de registro, osea realmente son muchas cosas con las que te puedes pillar, y para que decir las versiones... no revisare el exe para crackearlo, pero si te podria orientar con algo básico...
saludos Apuromafo
PD:existen inclusive dongle+asprotect...
|
|
|
|
|
432
|
Programación / Ingeniería Inversa / Re: unpacking asprotect fail
|
en: 3 Agosto 2013, 02:21 am
|
|
pero...mm es el mismo exe o es otro asprotect?, para mi ese video solo muestra que usa el script de volx, pero tampoco muestra cuando configuraron ese script, menos que sistema operativo usan xD, por otro lado, no es la unica forma de desempacar asprotect, yo solía usar codedoctor, o el unpacker de pekill, y el unpacking manual
hay muchisimos tutoriales pero inclusive existe el packer original crackeado, por ende es cosa de practicar, si no puedes ahora , tendra que ser cuando tengas mas experiencia
el tutorial que usas se ve que usa el script, repara con import rec, corta las entradas invalidas, (a pesar que le informa que existe stolen code y que lea el "log", llega y lo abre como si nada...
|
|
|
|
|
433
|
Programación / Ingeniería Inversa / Re: [?] Alguien que domine mucho Ingeniería Inversa?
|
en: 3 Agosto 2013, 02:03 am
|
xD aca si funciona, igual lo pego mejor // HaLV Crypter Unpacker
//Tested with UnPackMe_HaLV Crypter.exe
//(c) 0x0c0de 2008
var w_address
var r_address
var reg_size
var reg_addr
gpa "WriteProcessMemory","kernel32.dll"
mov w_address,$RESULT
cmp w_address,0
je end_
bp w_address
gpa "ResumeThread","kernel32.dll"
mov r_address,$RESULT
cmp r_address,0
je end_
bp r_address
lp:
run
cmp eip,r_address
je ext
mov reg_size,[esp+10]
mov reg_addr,[esp+0c]
dma reg_addr,reg_size,"unpacked_file.exe"
jmp lp
ext:
bc w_address
bc r_address
end_:
ret |
|
|
|
|
434
|
Programación / Ingeniería Inversa / Re: [?] Alguien que domine mucho Ingeniería Inversa?
|
en: 31 Julio 2013, 06:03 am
|
luego que estudies casi todos los cripter usan firmas, mm 50% usan combos que están en este script http://tuts4you.com/download.php?view.2457por otro lado ,hay tutoriales de crypter en http://www.ricardonarvaja.info/WEB/buscador.phppero si es realmente un visual basic(vb) deberías tener cuidado en por lo menos decompilar y tener una ideas del funcionamiento de las apis sobre todo alguna Dll Function call , (vbdecompiler por lo menos para complementar con maps ) aun asi creo que es muy global, y si realmente estas interesado debes aprender a desempacar, hay crypter faciles y otros un poco mas densos, comienza con el script que te adjunte en este escrito, pero de igual manera siempre van a haber vacios si otro te hace la ayuda... por eso aprende, y luego preguntas cuando vengan dudas que se relacionen un poco mas cerrado ejemplo no es lo mismo decir quiero un libro para leer(te diremos unos 20mil o mas) , que decir quiero leer fisicocuántica(será menor) y si dices autor( será aun menor), ahora digamos que desconoces el autor y que describes lo que leiste, aqui alguien te puede orientar, pero si quedas con lo que aparece en los scan, te puedes llevar impresiones muy diferente a la realidad, hay hasta programas que hacen fake sign(firmas falsas en el entrypoint) |
|
|
|
|
435
|
Programación / Ingeniería Inversa / Re: Desempacando un ASPack v2.12, dudilla ?
|
en: 31 Julio 2013, 05:37 am
|
aspack y asprotect son de la misma compañia, por ende pueden usar los mismos procedimientos, pro otro lado hay aspack comienza con pushad, termina con popad y un salto al oep, asprotect no, trabaja con una dll interna y puede como no puede trabajar con aspack ejemplo: http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1172-Desempacando%20al%20protegido%20de%20aspack%201.1.pdf.7zaqui creía fielmente aquella vez que era primeramente aspack y termino siendo asprotect, una version muy básica pero lo era si no has leido el faq, pasa por ahi(a primera vista eso no es el oep) sigue leyendo de aspack y de asprotect buscando esas palabras claves en : http://www.ricardonarvaja.info/WEB/buscador.phplo que hace and addd sub es ir agregando y restando valores(de paso con ello ayudando para encontrar alguna tabla del exe o dll cercana a los valores que vea si fuera por motivar que no aprendas, existen unpackers para aspack y asprotect, pero el cracking siempre es algo adicional, luego del desempacado ^^ saludos Apuromafo |
|
|
|
|
438
|
Programación / Ingeniería Inversa / Re: [?] Ayuda con armadillo peleón
|
en: 26 Julio 2013, 20:41 pm
|
Hola, un saludo, que no te aparezca la version a ya es algo extraño, puedo orientarte,pero es dificil que vuelva a depurar algo por acá necesitaré algunos datos extras como tu sistema operativo Respecto a el salto mágico , pasa que armadillo es un poco trickiñuelo, existen a lo menos 3 formas de reparar la iat 1) sin salto mágico, reparar uno a uno, esto es por experiencia bien recomendable, latoso pero util igual 2) cambiar cierta zona de un push 100 a retn (método inglés) 3) encontrar el salto mágico y luego haceer con script el orden de la tabla (método de ricardo, en versiones variadas) pero siempre hay cosas que nunca se hablan Tendrá code splicies? tendrá realmente nanomites tendrá environmentvariables? entre más alta la versión de armadillo más cosas te puedes encontrar Veo que ya encontraste el oep, eso es un gran paso a favor. Bueno Existen varias herramientas para amadillo, de lo cual lo que más usé fue script de fungus, fue ujn proyecto interesante implementar que detectara el overlay y otros detalles que ayudaran a los Secured section esto utiliza script la forma más rapida es que intentes usar armaggedon(cuando este obviamente sea una version soportada) en http://www.ricardonarvaja.info/WEB/buscador.phppuedes encontrar material de "Armadillo" en no mucho tiempo estuve inclusive keygeneando armadillos pero es recomendable en super-computadoras y versiones menores a cierto número... aver comenzemos con lo más básico Ejecuta este script desde el oep /*
Get Armadillo Version 3.xx / some 4.xx / 5.xx / 6.xx / 7.xx
*/
var aver
var temp
var scall
var outbuf
var membase
var len
var Armadillo_Version
bphwc // Clear any hardware breakpoints
bpmc // Clear any memory breakpoint
bc // Clear any saved breakpoints
lc // Clear the log window
gmi eip, MODULEBASE
mov ceip2, $RESULT
mov tmp1, ceip2
gmi eip, MODULESIZE
mov tmp2, $RESULT
add tmp1, tmp2
mov ceip1, tmp1
gpa "VirtualProtect", "kernel32.dll"
mov vpt, $RESULT
find vpt, #C21000#
mov vpt, $RESULT
gpa "OpenMutexA", "kernel32.dll"
mov oma, $RESULT
find oma, #C20C00# // find "retn 0C"
mov oma, $RESULT
gpa "IsDebuggerPresent", "kernel32.dll"
mov idp, $RESULT
gpa "OutputDebugStringA", "kernel32.dll"
mov odsa, $RESULT
gpa "OutputDebugStringW", "kernel32.dll"
mov odsw, $RESULT
mov [idp], #33C0C3# // assemble "xor eax,eax" "retn"
mov [odsa], #C20400# // assemble "retn 4"
mov [odsw], #C20400# // assemble "retn 4"
log "IsDebuggerPresent patched"
log "OutputDebugString patched"
msgyn "Is target using Debug Blocker/CopyMemII?"
mov idb, $RESULT
cmp idb, 0
je check1
// Bypass Debug Blocker
bp oma
erun
mov eax, 01
erun
mov eax, 01
bc oma
check1:
bp vpt
bp odsa
bp odsw
erun
bc vpt
bc odsa
bc odsw
cmp eip, odsa
je newversion
cmp eip, odsw
je newversion
sti
gmi eip, NAME // check if eip is in unowned section
cmp $RESULT, 0
jne check1
cmp ceip2,eip // check if eip is below PE image
ja oldversion
cmp ceip1,eip // check if eip is above PE image
jb oldversion
jmp check1
newversion:
sto
gmemi eip, MEMORYBASE
mov membase, $RESULT
mov temp, eip
sub temp, 10
find temp, #E8#
mov scall, $RESULT
cmp scall, 0
je error1
mov eip, scall
find membase, #41666649443D3C3E00000000#
mov temp, $RESULT
add temp, 0C
mov aver, temp
alloc 1000
mov outbuf, $RESULT
push 100
push outbuf
push aver
sto
find outbuf, #00#
mov len, $RESULT
sub len, outbuf
cmp len, 0
je error2
readstr [outbuf], len
mov Armadillo_Version, $RESULT
log Armadillo_Version
eval "Armadillo Version = {Armadillo_Version} "
msg $RESULT
jmp end
oldversion:
gmemi eip, MEMORYBASE
mov membase, $RESULT
find membase, #61726D56657273696F6E3E#
mov outbuf, $RESULT
add outbuf, 0F
find outbuf, #00#
mov len, $RESULT
sub len, outbuf
cmp len, 0
je error2
readstr [outbuf], len
mov Armadillo_Version, $RESULT
log Armadillo_Version
eval "Armadillo Version = {Armadillo_Version} "
msg $RESULT
jmp end
error1:
msg "Can't find decryption routine!"
jmp end
error2:
msg "Sorry Armadillo version is removed, it is somewhere between 4.00 and 4.66"
end:
ret |
|
|
|
|
439
|
Programación / Ingeniería Inversa / Re: Inicio
|
en: 22 Julio 2013, 19:53 pm
|
cuando ya conozcas el faq, hubieras leido de los escrito de ricardo encontraras informacion de "FOX" en foros ingleses como exetools o bien en español algunas cosas en http://www.ricardonarvaja.info/WEB/buscador.php solo basta que coloques "fox" o el nombre del ofuscador o temas que vayas viendo hay por lo menos 5mil escritos de cracking, y siempre se quedan en los primeros 30...insisto, hay mucha literatura, luego de pasar todo creeme que solo sabras lo básico,lo demás se hace en la práctica... en práctica dicen que en el fox puedes sacar su codigo, re construir el exe, pero tambien se ven casos donde solo extraen los stub o las rutinas basicas |
|
|
|
|
|
| |
|
Mostrar Mensajes
suerte a quien resuelva esos xor ^^