Ayuda con armadillo

Iniciado por KJD, 9 Noviembre 2008, 00:11 AM

0 Miembros y 2 Visitantes están viendo este tema.

KJD

QUe tal gente, el tema es el siguiente, se que armadillo es complejod e atacar, pero me gustaria empezar de una vez jeje.

Tengo un ejecutable, segun el peid Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks. ahora, en el administrador de tareas tengo dos procesos llamados igual, con el nombre de mi ejecutable.

Como procedo??? en el baul de ricardo hay muchisimas teorias, alguno me diria cual es la mas indicada??? gracias.
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???

Amerikano|Cls

Lo mejor que puedes hacer es leer las teorias de solid jeje, el lo explicaria de una forma mejor a como lo haria yo, hice un tute sobre armadillo pero basandome en los tutes de solid jeje, pero te adelanto algo, tenes que quitar el padre (es el proceso principal) para poder hecharle mano, y para eso segun sea copymem II (descifrar y copiar bytes al proceso hijo de a 1000 y luego quitarlos cuando no los necesite, bueno es algo parecido  :rolleyes: por eso digo lee el tute de solid que hay mas abajo jeje) o debugblocker tenes unas formas de hacerlo, mira pasale el armaFp y ahi te dice que protecciones usa, y luego de eso lee esto jeje:

Tute solid:

http://ricardonarvaja.info/WEB/CONCURSOS%202007/CONCURSO%204/Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar

ArmaFP:

http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/ArmaFP.zip

Mi tute sobre armadillo:

http://www.mediafire.com/?soctfy2hydt

salu2 y espero le sirva  ;D

AmeRiK@nO




Mi blog:
http://amerikanocls.blogspot.com

KJD

Gracias por la respuesta AmeRiK@nO, la aplicacion que me diste dio esta info.

<------- 08-11-2008 23:11:17 ------->

!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
!- Version 4.48

Mañana lee los tutos gracias por la ayuda.
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???

Amerikano|Cls

Ok, segun veo tiene lo minimo, menos mal no tubo copymem II, ahora ya te podras guiar por mi tute jeje, pero fielmente te recomiendo los de solid son los mejores.

Ahora lo que tenes que hacer es evitar que corra en 2 procesos a traves de un BP en OpenMutexA (tildando todas las excepciones en Debuggin options + exceptions para que solo pare por el bp y no confundir con otras cosas jeje) y como a la segunda o en otros casos a la 3 parada del olly en este BP, podes poner eax a 1 despues del retn de esta api, y asi evitaras que corra en 2 procesos, ahora para hallar el oep, lo podes hacer de muchas de las formas convencionales (no todas a veces funkan   ;)), pero la que me sirvio es como explica solid en sus tutes, es poner un BP en CreateThread y cuando pare llegar al retn y buscar un poco hacia abajo hasta dar con unas llamadas indirectas (la mas comun es call EAX), y a la segunda que aparece, creo que siempre es asi, esa sera entonces la llamada al OEP y de ahi anda la mona  ;D ;D ;D ;D ;D, tambien lo podras hacer poniendo un BP ON MEMORY ACCES en la sección CODE. Luego de llegar al OEP solo te restaria reparar la IAT, dumpear y arreglar el pe-header copiandolo del original jeje.

Espero te sirva, aunque como diré siempre los tutes de Solid son lo mejor en estos casos jeje, lo que acabo de decir es tan solo una añadidura  ;D.

salu2.

AmeRiK@nO





Mi blog:
http://amerikanocls.blogspot.com

Amerikano|Cls

Se me olvidaba decirte algo jeje, cualquier duda comunicamela a mi msn jeje y asi trabajaremos mas comodo y los avances los posteamos   ;D ;D ;D

salu2

amerikano




Mi blog:
http://amerikanocls.blogspot.com

Shaddy

Ni COPYMEM, ni Nanomites, ni IAT Scramble, ni Code Splicing, xD, amos está tirado... porque yo últimamente ando con cada uno ¬¬...

KJD, en éste para localizar el OEP como no tiene CopyMemII, tienes que meter un BP en CreateThread, y fijarte donde retorna porque habrá un call r32 que te llevará al OEP.

Luego miras a ver como está la tabla y si hay entradas mal metes un hw y reinicias para ver donde se escriben mal.

Salu2...
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

Amerikano|Cls

Cita de: ShadowDark en  9 Noviembre 2008, 09:35 AM
Ni COPYMEM, ni Nanomites, ni IAT Scramble, ni Code Splicing, xD, amos está tirado... porque yo últimamente ando con cada uno ¬¬...

KJD, en éste para localizar el OEP como no tiene CopyMemII, tienes que meter un BP en CreateThread, y fijarte donde retorna porque habrá un call r32 que te llevará al OEP.

Luego miras a ver como está la tabla y si hay entradas mal metes un hw y reinicias para ver donde se escriben mal.

Salu2...

¿call r32 significa indirecto?, si es asi bueno saberlo  ;D

salu2

amerikano




Mi blog:
http://amerikanocls.blogspot.com

Shaddy

jajaj si bueno, en OllyDBG puedes hacer una búsqueda de un:

call r32

ésto dará todos los resultados de los registros de "32 Bits" (EAX, EBX, ECX, etc), de la misma manera también puedes buscar.

mov eax, r8

etc.

También, imagina que llegas del CreateThread, y eres un vagoo como yo que no le apetece buscar el call r32. Entonces le das a CTRL + T (Run Trace options) y pones que tracee hasta encontrar una instruccion de las siguientes, y pones.

call r32, le das a CTRL+F12 (TRACE OVER), para que no te entre en las DLL y listo.

Salu2...
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

Amerikano|Cls

Cita de: ShadowDark en  9 Noviembre 2008, 16:38 PM
jajaj si bueno, en OllyDBG puedes hacer una búsqueda de un:

call r32

ésto dará todos los resultados de los registros de "32 Bits" (EAX, EBX, ECX, etc), de la misma manera también puedes buscar.

mov eax, r8

etc.

También, imagina que llegas del CreateThread, y eres un vagoo como yo que no le apetece buscar el call r32. Entonces le das a CTRL + T (Run Trace options) y pones que tracee hasta encontrar una instruccion de las siguientes, y pones.

call r32, le das a CTRL+F12 (TRACE OVER), para que no te entre en las DLL y listo.

Salu2...

Por eso eres grande ShaDDy, muchas gracias  ;D ;D ;D ;D ;D ;D ;D ;D ;D no sabia esto jeje

salu2

amerikano




Mi blog:
http://amerikanocls.blogspot.com

KJD

Gracias AmeRiK@nO y Shadow, sus respuestas como siempre impecables  ;D, les comento los avances.

He seguido las instrucciones de AmeRiK@nO, he puesto un BP en CreateMutexA, para evitar que se cree el segundo proceso en la segunda parada de la api, poniendo EAX a 0, el problema es que funciono bien, es mas puse un BP on Access en la sección .code y llege a lo que me parecia el OEP, ya que dos instrucciones mas abajo tenia la api getstartupinfo, el caso es que intente dumpear y el olly se travo, emepzo a ejecutarce una rutina y no andubo mas, es asi como digo, sonara raro pero asi fue. El problema es que ahora eax no vale mas 0 sino BC, AC, B0, etc, nunca 0, pero si lo pongo a 0 tampoco anda ya que queda en running y no arranca el programa.

Voy a ver como soluciono este problema  y les comento mas resultados.

Saludos y gracias.
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???