Ayuda con armadillo

Iniciado por KJD, 9 Noviembre 2008, 00:11 AM

0 Miembros y 2 Visitantes están viendo este tema.

Amerikano|Cls

Hola shaddy, a que te refieres con destrozado? armadillo lo tocò? servira de todas formas si se pone ese como OEP? es una dudilla jeje, ya que he visto en muchos tutes que un oep no puede ser call, corrijame si me equivovo  ;D.

salu2

amerikano




Mi blog:
http://amerikanocls.blogspot.com

KJD

Mientras que Shadow responde la pregunta de  AmeRiK@nO, posteo mi duda.

Este es el principio de mi posible IAT



Y este es el fin????  en 00985658  00000000




Porque como tengo mas instrucciones del tipo SFrame.0097F3D6, quiza siga mas para abajo.

Saludos y mil gracias por la ayuda



"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???

Amerikano|Cls

Como decia, en base a otros tutos las que estan en cada cambio de libreria, deben ser "00000000", pero creo que la que esta en 985024, creo que es erronea no se, pero como hay una abajo de la misma libreria ahi deberia ir un valor correcto. Bueno esta tarde quedamos en el punto en que ecx tomaba los valores que iban a ser ingresados en la IAT era algo como mov ecx, DWORD PTR SS:[EBP-XXXX], y podes ir a la pila o stack, presionar ctrl+g y poner "EBP-XXXX" como indique la instruccion anterior y ally es donde tendras el punto donde se almacenan los valores buenos y malos.

Vas al dump en esa direccion y pones un HBP ON WRITE alli, todos los que tengas, y das a F9, y estas atento de que haya parado por escribir una entrada falsa o buena, de lo contrario das nuevamente a f9, y cuando se haya escrito la entrada en la iat ahi es donde debes subir un poco y hallar el salto magico  ;D, luego podes crear un script que cambie ese salto y te deje en el oep con la iat reparada para luego dumpear  :D, bueno, me extendi, esto es lo que ibamos a hacer si no te hubieras ido jeje.

salu2

amerikano




Mi blog:
http://amerikanocls.blogspot.com

KJD

Gracias AmeRiK@nO, entonces solo me queda buscar el salto magico y aplicar el script, cuando llege a casa me pongo a buscarlo. gracias

Saludos.
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???

Shaddy

En cuanto a Americano, si si, ese es el OEP, porque lo he visto en los últimos armadillos y he desempaquetado alguno con ese OEP. Y no son como los de verdad XD.

En cuanto a KJD XD, si, esa es la tabla, las librerías efectivamente se separaran con un DWORD "00", y como ahí no tienes IAT scramble pues la tienes más o menos fácil.

Para saber el largo es mejor que clickees 2 veces en el margen de las direcciones desde el punto de inicio para qu ete diga el final ej:

$+F79 -> Ultima api (buena o tirada)

Salu2...
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

KJD

Shadow, te comento que la IAT esta media jodida, ya que en la parte de importaciones del kernell esta desordenada, osea tengo 1 entrada bien, 1 mal, 2 bien, 3 mal, etc.....
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???

KJD

#26
Bueno gente les comento que pude con el maldito armadillo!!!!!!

Estoy contento jejeje!!!!

Pude encontrar el salto magino que escribia los valores buenos y malos en la IAT, aplique el script de Solid y pude quedar en el OEP con la IAT reparada.

Le aplique el imprec y repare el dumpeado.

Le arregle el header y lsito.

Ahora tengo un problema. el ejecutable me da error de

Microsoft C++ Runtime Library.

r6002
-Floating point suport not loaded.

Que podra ser??

EDITO:

Me he dado cuenta de dos cosas, el archivo dumpeado y desempacado, esta packetado con molebox 2.57, porque cuando lo cargo en olly me dice que esta protegido, y el RDG me tira que esta protegido con ese molebox 2.5.7.

Les agradeceria si le echan un vistazo y me dicen si es verdad lo que me dice el RDG o es que no le saque el armadillo como se debia, aunque me parece que si.

Les dejo el archivo. Gracias y saludos.

http://rapidshare.com/files/162917138/Escritorio.rar.html



"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???

Shaddy

Bueno, realmente no se si lo llegaste a desempacar del todo bien, puesto que si te desordenó la IAT, y utilizaste el script sólamente con el salto, es posible que olvidases que suelen utilizar GetTickCount para calcular el tiempo que tarda desde que mete la API hasta que se guarda, y al aver un bp ese tiempo ya no es el mismo, así que probablemente deberías tener en cuenta eso, el JBE debajo del GetTickCount.

Te recomiendo un tute de AbsshA, en el webstorage de Ricardo en Concursos 2008 el concurso 1 nivel 4 sino me equivoco donde desempaca el "VideoRedo", ahí tienes un script facilón.

Y también estaría bien que si te rompe la IAT que la cambies de sección, ésto lo hace muy bien el arminline, y además, te las pone en su sitio.

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

KJD

He estado siguiendo el tutorial de AbsshA, llego a la pare que el ejecutable no arranca, pero no puedo llegar a la misma sección que el llega, osea no puedo modificarlo para que arranque si o si.

Me he fijado este nuevo dump que hice y la IAT esta desordenada yu con entradas falsas, cosa que en mi dumpoeado original no. Por eso no creo que GetTickCount este molestando. Alguna otra idea de lo que podria llegar a ser???
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???

tena

ponele hbpw a un valor de la iat, reinicia, das dos veces run, y fijate si justo donde cae abajo hay un GetTickCount, y abajo de este hace la resta,  a esta resta la debes de poner en cero con el script, sino lo haces te desordena las apis en la iat  poniendolas en cualquier lado..

acordarse del openmutex


saludos