Armadillo, tocando las.......

Iniciado por bwsr, 9 Julio 2007, 16:53 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2
Acciones del Usuario

bwsr

#10
10 Julio 2007, 23:03 PM
Hola denuevo.

Ya he intentado el unpacking y me pasa una cosa curiosa....

Sigo todos los pasos indicados y finalmente consigo dumpear el ejecutable y reconstruirlo con el ImpReconstructor pero cuando lo ejecuto me sale lo siguiente





Puede ser alguna otra protección pero esta vez del programa??

Si edito el ejecutable con olly veo todos los "string references" etc....(eso me da ha entender que está desempacado no??)

Alguna idea?¿

Shaddy

#11
10 Julio 2007, 23:07 PM
Cita de: Bullweiser en 10 Julio 2007, 23:03 PM
Hola denuevo.

Ya he intentado el unpacking y me pasa una cosa curiosa....

Sigo todos los pasos indicados y finalmente consigo dumpear el ejecutable y reconstruirlo con el ImpReconstructor pero cuando lo ejecuto me sale lo siguiente





Puede ser alguna otra protección pero esta vez del programa??

Si edito el ejecutable con olly veo todos los "string references" etc....(eso me da ha entender que está desempacado no??)

Alguna idea?¿

un poco pequeña me parece esa tabla pero bueno, tendras que ser un .exe de nomas de 200 kb para tener una tabla tan pequeña... mira en olly porque te tira el error.

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

bwsr

#12
11 Julio 2007, 18:05 PM
He vuelto a intentarlo unas 5 veces mas y en todas me pasa lo mismo.

He copiado el IAT reparado al 1º hijo del programa que he attacheado en olly,después he usado el ArmInline para el "Rebase IAT", después he dumpeado el ejecutable copiando el PE Header del programa original en el attachado y finalmente con el Import Reconstructor he arreglado la IAT.

La cosa es que cuando ejecuto el "dump_.exe" me da un error en "vcl50.blp" pero el en el Import Reconstructor me sale que está añadida y que Valid:YES

Aquí las capturas.

Analisis con el ArmaFP del "dump_exe":

<------- 11-07-2007 17:48:01 ------->
C:\Archivos de programa\Maintenance Pro\MP_Dump_.exe
!- Protected Armadillo
?- GetThreadContext error(31)
Protection system (Basic)
!- <Protection Options>
Standard protection or Minimum protection
Enable Strategic Code Splicing
!- <Backup Key Options>
Variable Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
Allow Only One Copy
Use eSellerate Edition Keys
Use Digital River Edition Keys
Don't Fall Back to Stand-Alone Mode
?- VirtualProtectEx error(5)
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970

Comparación IAT
--------------------


Arm Inline
------------



Import Reconstructor
------------------------



Error
------



No se que hago mal.....

Shaddy

#13
11 Julio 2007, 20:36 PM
Cita de: Bullweiser en 11 Julio 2007, 18:05 PM
He vuelto a intentarlo unas 5 veces mas y en todas me pasa lo mismo.

He copiado el IAT reparado al 1º hijo del programa que he attacheado en olly,después he usado el ArmInline para el "Rebase IAT", después he dumpeado el ejecutable copiando el PE Header del programa original en el attachado y finalmente con el Import Reconstructor he arreglado la IAT.

La cosa es que cuando ejecuto el "dump_.exe" me da un error en "vcl50.blp" pero el en el Import Reconstructor me sale que está añadida y que Valid:YES

Aquí las capturas.

Analisis con el ArmaFP del "dump_exe":

<------- 11-07-2007 17:48:01 ------->
C:\Archivos de programa\Maintenance Pro\MP_Dump_.exe
!- Protected Armadillo
?- GetThreadContext error(31)
Protection system (Basic)
!- <Protection Options>
Standard protection or Minimum protection
Enable Strategic Code Splicing
!- <Backup Key Options>
Variable Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
Allow Only One Copy
Use eSellerate Edition Keys
Use Digital River Edition Keys
Don't Fall Back to Stand-Alone Mode
?- VirtualProtectEx error(5)
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970

Comparación IAT
--------------------


Arm Inline
------------



Import Reconstructor
------------------------



Error
------



No se que hago mal.....

¿y las entradas restantes las dejas sin arreglar? 9ABA20 por ejemplo está sin resolver..

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

bwsr

#14
11 Julio 2007, 21:11 PM
Me he dado cuenta justo después de postear, lo que pasa que el script solo me arregla algunas......

Que puedo hacer para reparar todas ????

Shaddy

#15
11 Julio 2007, 22:24 PM
Cita de: Bullweiser en 11 Julio 2007, 21:11 PM
Me he dado cuenta justo después de postear, lo que pasa que el script solo me arregla algunas......

Que puedo hacer para reparar todas ????

descubrir como hacerlas a mano, ahora no recuerdo exactamente el método, pero dime, que parte del tutorial es?, porque en http://ricardonarvaja.info en el webstorage tienes muchos de armadillo, pero ese es de lo mejorcito, ahora si, repararla a mano hay que buscarlo yo no recuerdo ahora mismo, pero vamos lo suyo es que mires a donde va esa dirección y como la emula.

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
Imprimir
Ir Arriba Páginas 1 2
Acciones del Usuario