Armadillo 6.60.0140 hueso duro de roer=?

Iniciado por biribau, 15 Junio 2009, 02:50 AM

0 Miembros y 1 Visitante están viendo este tema.

biribau

Oh interesante, muchas gracias por esa valiosa info, ya me hice un script en pydbg que extrae los bytes que inyecta el padre en el hijo, eso debe ser a lo que te refieres(lo sigue haciendo de 1000 en 1000), yo pensaba que era el code splicing jeje.... :rolleyes: sin embargo la inyecta solo al principio no veo eso que dices de desencripcion on-demand por llamarlo de alguna manera

Voy avanzando, de momento estoy jugando/hackando bastante el pydbg, añadiendole funciones y tal, como hooks a apis, con logs y eso...

Lo que no me convence mucho es la performance, es muy flexible pero si ya tarda bastante en procesar este pequeño crackme ni me imagino con una app de verdad

Mi objetivo es hacer un deunpacker generico para armadillo en pydbg a ver si me sale antes de que me abandonen las fuerzas jeje

Os aconsejo mucho el pydbg, ya se que no callo con el(que si pydbg para arriba, pydbg para abajo) pero estoy aprendiendo mucho con el sobre como se depura una app en windows y solo hay que saber un poco de python!! Lo ideal fuera que fuese en un lenguaje compilado(a codigo maquina) pero no hay mucho donde escoger, quiza ocaml me hubiera gustado o haskell, el resto no tienen las facilidades de python, aunque no se como andarian de eficiencia...

Amerikano|Cls

Mirate el tute del maestro Solid así entenderas de lo que habla  ;D:

http://www.mediafire.com/?llnzmn0d1rw

No pongo el link de la pagina de ricardo porque no recuerdo donde estaba  :xD

saludines por ahi.




Mi blog:
http://amerikanocls.blogspot.com

tincopasan

lo tuve mirando y trae copymen debug nanos y codesplicing, pero basicamente es igual a los armadillos anteriores, por suerte no trae key, asi q no está dificil, lo hice de la forma rapida, usando el armadetach, ya lo voy a hacer a mano y escribire un tute, ando como siempre con F1ACA y a full en el laburo. Pero leyendo tutes de Solid, NCR o incluso el mio de armadillo 6 se puede resolver.

biribau

Efectivamente, ya lo consegui desempacar "a mano"(gracias a ese gran tute de Solid), en realidad desisti de hacerlo con el pydbg. No lo hice a mano total por la cosa del code splicing que no se como va y el rebase de la iat, cosas que te hace el arminline aunque me gustaria saber como
Por otro lado me hice con uno que lleva nanomites y tambien los pude dumpear y arreglar los nanomites pero tambien con herramienta, porque me perdia en el codigo de las tablas de los saltos... ¿lo han cambiado? (para ello segui los tutes de ricardo)

En conclusion, que no han cambiado nada  :o???, las herramientas de siempre para versiones antiguas siguen funcionando!!

O sea, que no es tan duro