|
431
|
Programación / Ingeniería Inversa / Re: unpacking asprotect fail
|
en: 3 Agosto 2013, 03:18 am
|
mandame ese asprotect al privado, solo para matar un poco las dudas(version, opciones y cosas asi antes decias que podia ser aspack, luego sacaste que era asprotect...deja checkear la app, pero por privado) por otro lado, el faq de acá es el primero, asprotect irá casi en los packers cuando ya dominan lo básico
Digamos esto, existe un formato de PE de los exes, el cual no es modificado, pero digamos que asprotect tiene ANTI CRC, tiene antidebug, tiene redireccion de iat, tiene stolen code , tiene destruccion de las entradas de iat, tiene sdk de registro, osea realmente son muchas cosas con las que te puedes pillar, y para que decir las versiones... no revisare el exe para crackearlo, pero si te podria orientar con algo básico...
saludos Apuromafo PD:existen inclusive dongle+asprotect...
|
|
|
432
|
Programación / Ingeniería Inversa / Re: unpacking asprotect fail
|
en: 3 Agosto 2013, 02:21 am
|
pero...mm es el mismo exe o es otro asprotect?, para mi ese video solo muestra que usa el script de volx, pero tampoco muestra cuando configuraron ese script, menos que sistema operativo usan xD, por otro lado, no es la unica forma de desempacar asprotect, yo solía usar codedoctor, o el unpacker de pekill, y el unpacking manual
hay muchisimos tutoriales pero inclusive existe el packer original crackeado, por ende es cosa de practicar, si no puedes ahora , tendra que ser cuando tengas mas experiencia
el tutorial que usas se ve que usa el script, repara con import rec, corta las entradas invalidas, (a pesar que le informa que existe stolen code y que lea el "log", llega y lo abre como si nada...
|
|
|
433
|
Programación / Ingeniería Inversa / Re: [?] Alguien que domine mucho Ingeniería Inversa?
|
en: 3 Agosto 2013, 02:03 am
|
xD aca si funciona, igual lo pego mejor // HaLV Crypter Unpacker //Tested with UnPackMe_HaLV Crypter.exe //(c) 0x0c0de 2008 var w_address var r_address var reg_size var reg_addr gpa "WriteProcessMemory","kernel32.dll" mov w_address,$RESULT cmp w_address,0 je end_ bp w_address gpa "ResumeThread","kernel32.dll" mov r_address,$RESULT cmp r_address,0 je end_ bp r_address lp: run cmp eip,r_address je ext mov reg_size,[esp+10] mov reg_addr,[esp+0c] dma reg_addr,reg_size,"unpacked_file.exe" jmp lp ext: bc w_address bc r_address end_: ret
|
|
|
434
|
Programación / Ingeniería Inversa / Re: [?] Alguien que domine mucho Ingeniería Inversa?
|
en: 31 Julio 2013, 06:03 am
|
luego que estudies casi todos los cripter usan firmas, mm 50% usan combos que están en este script http://tuts4you.com/download.php?view.2457por otro lado ,hay tutoriales de crypter en http://www.ricardonarvaja.info/WEB/buscador.phppero si es realmente un visual basic(vb) deberías tener cuidado en por lo menos decompilar y tener una ideas del funcionamiento de las apis sobre todo alguna Dll Function call , (vbdecompiler por lo menos para complementar con maps ) aun asi creo que es muy global, y si realmente estas interesado debes aprender a desempacar, hay crypter faciles y otros un poco mas densos, comienza con el script que te adjunte en este escrito, pero de igual manera siempre van a haber vacios si otro te hace la ayuda... por eso aprende, y luego preguntas cuando vengan dudas que se relacionen un poco mas cerrado ejemplo no es lo mismo decir quiero un libro para leer(te diremos unos 20mil o mas) , que decir quiero leer fisicocuántica(será menor) y si dices autor( será aun menor), ahora digamos que desconoces el autor y que describes lo que leiste, aqui alguien te puede orientar, pero si quedas con lo que aparece en los scan, te puedes llevar impresiones muy diferente a la realidad, hay hasta programas que hacen fake sign(firmas falsas en el entrypoint)
|
|
|
435
|
Programación / Ingeniería Inversa / Re: Desempacando un ASPack v2.12, dudilla ?
|
en: 31 Julio 2013, 05:37 am
|
aspack y asprotect son de la misma compañia, por ende pueden usar los mismos procedimientos, pro otro lado hay aspack comienza con pushad, termina con popad y un salto al oep, asprotect no, trabaja con una dll interna y puede como no puede trabajar con aspack ejemplo: http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1172-Desempacando%20al%20protegido%20de%20aspack%201.1.pdf.7zaqui creía fielmente aquella vez que era primeramente aspack y termino siendo asprotect, una version muy básica pero lo era si no has leido el faq, pasa por ahi(a primera vista eso no es el oep) sigue leyendo de aspack y de asprotect buscando esas palabras claves en : http://www.ricardonarvaja.info/WEB/buscador.phplo que hace and addd sub es ir agregando y restando valores(de paso con ello ayudando para encontrar alguna tabla del exe o dll cercana a los valores que vea si fuera por motivar que no aprendas, existen unpackers para aspack y asprotect, pero el cracking siempre es algo adicional, luego del desempacado ^^ saludos Apuromafo
|
|
|
438
|
Programación / Ingeniería Inversa / Re: [?] Ayuda con armadillo peleón
|
en: 26 Julio 2013, 20:41 pm
|
Hola, un saludo, que no te aparezca la version a ya es algo extraño, puedo orientarte,pero es dificil que vuelva a depurar algo por acá necesitaré algunos datos extras como tu sistema operativo Respecto a el salto mágico , pasa que armadillo es un poco trickiñuelo, existen a lo menos 3 formas de reparar la iat 1) sin salto mágico, reparar uno a uno, esto es por experiencia bien recomendable, latoso pero util igual 2) cambiar cierta zona de un push 100 a retn (método inglés) 3) encontrar el salto mágico y luego haceer con script el orden de la tabla (método de ricardo, en versiones variadas) pero siempre hay cosas que nunca se hablan Tendrá code splicies? tendrá realmente nanomites tendrá environmentvariables? entre más alta la versión de armadillo más cosas te puedes encontrar Veo que ya encontraste el oep, eso es un gran paso a favor. Bueno Existen varias herramientas para amadillo, de lo cual lo que más usé fue script de fungus, fue ujn proyecto interesante implementar que detectara el overlay y otros detalles que ayudaran a los Secured section esto utiliza script la forma más rapida es que intentes usar armaggedon(cuando este obviamente sea una version soportada) en http://www.ricardonarvaja.info/WEB/buscador.phppuedes encontrar material de "Armadillo" en no mucho tiempo estuve inclusive keygeneando armadillos pero es recomendable en super-computadoras y versiones menores a cierto número... aver comenzemos con lo más básico Ejecuta este script desde el oep /*
Get Armadillo Version 3.xx / some 4.xx / 5.xx / 6.xx / 7.xx
*/
var aver var temp var scall var outbuf var membase var len var Armadillo_Version
bphwc // Clear any hardware breakpoints bpmc // Clear any memory breakpoint bc // Clear any saved breakpoints lc // Clear the log window
gmi eip, MODULEBASE mov ceip2, $RESULT mov tmp1, ceip2 gmi eip, MODULESIZE mov tmp2, $RESULT add tmp1, tmp2 mov ceip1, tmp1
gpa "VirtualProtect", "kernel32.dll" mov vpt, $RESULT find vpt, #C21000# mov vpt, $RESULT gpa "OpenMutexA", "kernel32.dll" mov oma, $RESULT find oma, #C20C00# // find "retn 0C" mov oma, $RESULT gpa "IsDebuggerPresent", "kernel32.dll" mov idp, $RESULT gpa "OutputDebugStringA", "kernel32.dll" mov odsa, $RESULT gpa "OutputDebugStringW", "kernel32.dll" mov odsw, $RESULT mov [idp], #33C0C3# // assemble "xor eax,eax" "retn" mov [odsa], #C20400# // assemble "retn 4" mov [odsw], #C20400# // assemble "retn 4" log "IsDebuggerPresent patched" log "OutputDebugString patched"
msgyn "Is target using Debug Blocker/CopyMemII?" mov idb, $RESULT cmp idb, 0 je check1 // Bypass Debug Blocker bp oma erun
mov eax, 01 erun
mov eax, 01 bc oma
check1: bp vpt bp odsa bp odsw erun
bc vpt bc odsa bc odsw cmp eip, odsa je newversion cmp eip, odsw je newversion
sti gmi eip, NAME // check if eip is in unowned section cmp $RESULT, 0 jne check1 cmp ceip2,eip // check if eip is below PE image ja oldversion cmp ceip1,eip // check if eip is above PE image jb oldversion jmp check1
newversion:
sto gmemi eip, MEMORYBASE mov membase, $RESULT
mov temp, eip sub temp, 10 find temp, #E8# mov scall, $RESULT cmp scall, 0 je error1
mov eip, scall
find membase, #41666649443D3C3E00000000# mov temp, $RESULT add temp, 0C mov aver, temp
alloc 1000 mov outbuf, $RESULT
push 100 push outbuf push aver
sto
find outbuf, #00# mov len, $RESULT sub len, outbuf cmp len, 0 je error2 readstr [outbuf], len mov Armadillo_Version, $RESULT log Armadillo_Version eval "Armadillo Version = {Armadillo_Version} " msg $RESULT
jmp end
oldversion:
gmemi eip, MEMORYBASE mov membase, $RESULT
find membase, #61726D56657273696F6E3E# mov outbuf, $RESULT add outbuf, 0F find outbuf, #00# mov len, $RESULT sub len, outbuf cmp len, 0 je error2 readstr [outbuf], len mov Armadillo_Version, $RESULT log Armadillo_Version eval "Armadillo Version = {Armadillo_Version} " msg $RESULT
jmp end
error1: msg "Can't find decryption routine!" jmp end
error2: msg "Sorry Armadillo version is removed, it is somewhere between 4.00 and 4.66"
end: ret
|
|
|
439
|
Programación / Ingeniería Inversa / Re: Inicio
|
en: 22 Julio 2013, 19:53 pm
|
cuando ya conozcas el faq, hubieras leido de los escrito de ricardo encontraras informacion de "FOX" en foros ingleses como exetools o bien en español algunas cosas en http://www.ricardonarvaja.info/WEB/buscador.php solo basta que coloques "fox" o el nombre del ofuscador o temas que vayas viendo hay por lo menos 5mil escritos de cracking, y siempre se quedan en los primeros 30...insisto, hay mucha literatura, luego de pasar todo creeme que solo sabras lo básico,lo demás se hace en la práctica... en práctica dicen que en el fox puedes sacar su codigo, re construir el exe, pero tambien se ven casos donde solo extraen los stub o las rutinas basicas
|
|
|
|
|
|
|