Armadillo, tocando las.......

Iniciado por bwsr, 9 Julio 2007, 16:53 PM

0 Miembros y 2 Visitantes están viendo este tema.

bwsr

Hola, estoy intentando desempacar un Armadillo con olly manualmente.

La cosa es que este tipo de packer suele crear muchas "exceptions", entonces lo que hago es desde olly Options --> Debugging options  y añado en la pestaña exceptions --> C0000005 (ACCESS VIOLATION)

Pero lo que no entiendo es porque me sigue saliendo el error C0000005 al ejecutar el programa F9  despues que le digo a ollly que ignore esa exception.....

Alguna idea.....¿?¿?

Gracias.

Hendrix

Creo recordar (no estoy seguro, hace tiempo que no toco armadillo) que el Armadillo no generaba ninguna exceptción...creo que era el ASProtect que creaba muchas..... :-\ :-\

Dime la version del armadillo... ;) ;)
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

bwsr

Con el PEid me dice que es --> Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks

La cosa es que el RDG Packer Detector me dice que no está empacado sino que esta programado en Microsoft Visual C++ 6 y según he leido el armadillo se confunde muchas veces con este lenguaje....

Shaddy

Cita de: Bullweiser en  9 Julio 2007, 17:06 PM
Con el PEid me dice que es --> Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks

La cosa es que el RDG Packer Detector me dice que no está empacado sino que esta programado en Microsoft Visual C++ 6 y según he leido el armadillo se confunde muchas veces con este lenguaje....


utiliza el método avanzado (M-B) en los radio botones del margen inferior derecho y dinos que te dice.

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com


Shaddy

Cita de: Bullweiser en  9 Julio 2007, 18:19 PM


está bien, pero cambia de versión, la excepción que te marca es que finalizó el proceso porque detecta el debugger.

baja esta:

http://shaddy.co.nr/HERRAMIENTAS/RDG%20Packer%20Detector%20v0.6.5%20Beta.zip

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

bwsr

Tengo el plugin "isDebugPresent" pero me sigue dando la lata.

No sabrás de algún manual para esta versión no???


Gracias por las respuestas ShadowDark.

Shaddy

Cita de: Bullweiser en  9 Julio 2007, 18:36 PM
Tengo el plugin "isDebugPresent" pero me sigue dando la lata.

No sabrás de algún manual para esta versión no???


Gracias por las respuestas ShadowDark.

http://shaddy.co.nr/OllyDBG.rar

baja mi ollydbg y prueba el OllyGhost, y si no el plugin OllyAdvanced. Éste olly esta muy completo ;).

en cuanto al manual la página de ricardo está caída y concretamente esa version la tendrías que analizar con:

Modificado:ArmaFP v1.6

dime la version exacta que te dice y las protecciones y ya te buscaré uno.

Salu2...
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

bwsr



!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Nanomites Processing
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Allow Only One Copy
Disable Monitoring Thread
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970


Tiene de todo no?¿...

Muchas gracias ShadowDark !!!

Shaddy

Cita de: Bullweiser en  9 Julio 2007, 19:11 PM


!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Nanomites Processing
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Allow Only One Copy
Disable Monitoring Thread
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970


Tiene de todo no?¿...

Muchas gracias ShadowDark !!!

Así si que hiciste un buen análisis :).

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/847-Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar

creo que éste valdrá :). Cuentame si te funciona. OJO no todo será al pie de la letra, porque éste que te pongo tiene muchas protecciones pero vamos, tiene que orientarte.

Salu2...
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com