Ayuda con Asprotect 1.2x, 1.3x, 1.23 RC1

Iniciado por henryxs87, 21 Julio 2012, 23:13 PM

0 Miembros y 1 Visitante están viendo este tema.

henryxs87

Este primero que todo un cordial saludos a la comunidad, resulta que este packer me ha dado problemas porque he usado varias herramientas para intentar descomprimirle pero todas me han fallado:

- DecomaS / Codedoctor(del ollydbg que me funciono con un crackeme) / Generic Unpack 0.5 Sin resultado favorable.
- Ya mire esto http://ricardonarvaja.info/WEB/buscador.php me descargue algunos
- ASProtect 1.2x Plugin de Ollydbg me da error, lo extraño es que funcionanaba cuando dejaba la carpeta de plugins vacia, solo con esa, si le agragaba cualquiera al azar daba error, de hecho le use porque en un tuto especificaba su uso pero nada que ver xD
- Uso Windows XP SP3 obviamente desactivo el antivirus para estas cosas
- Por la razones de arriba toca recurrir al metodo manual siguiendo tutos claro este, escepto por las dudas que se me generan y cosas que me sacan de onda.
- Uso el clasico Ollydbg 1.10 con el IsDebugPresent porque sin el me detecta del Debugger y no hago nada, ademas de tener el Ollydump, comandbar y demas

En la imagen de a continuacion pongo la deteccion del packer y la OEP



En la primera arrancada sin ejecutar nada me sale esto, que segun muchos tutes es la estructura clasica del asprotect



Si traceo un poquito con F7 llego a esto, aunque quizas no sea valido para este tipo de packer pues solo por intentar


En mi caso decidi usar este tute bueno ya revise varios usan el procediiento ese de las excepciones http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1043-Destripando%20el%20Asprotect%201.23%20del%20Aspack%202.12.pdf (Este porque es el mas explicado aunque ya he visto varios)

F9 >=> Shift F9 Veces hasta la ultima excepcion, el Shift F7, El BPM hasta llegar al supuesta OEP
Pero para mi mala suerte luego de eso no llegue al OEP? porque pasa eso :S ... quizas el metodo que use no sea el mas eficaz porque solo me tira 2 excepeciones, a claro que destilde todas las casilla de Opciones => excpeciones excepto la de kernel32 ... OSea Uso el metodo de las excepciones cuando este no genera casi nada xDDD



Este es otro Tute que consegui de ArikA en su estudio completo del desempaquetador aspack 1.23 http://ricardonarvaja.info/WEB/OTROS/AKIRA%20TODO/10.%20Estudio%20completo%20del%20empaquetador%20Asprotect%201.23.rar

- Trace como la imagen de arriba(Donde esta el PUSHAD) siguiendo luego los pasos
CitarVale, ya conocemos el procedimiento, vamos a esp, pinchamos con el derecho y ponemos folow in dump

A continuacion vamos a la sección dump pinchamos en el primer byte y ponemos breakpoint hardware on access – dword.

Damos a run y despues de una rutina IsDebuggerPresent, unas excepciones( pasamos con shift+f9) y de un cuadro de dialogo , saltamos a una instrucción popa y despues vienen  un mov 401000 a eax, push eax y retn



Y por ultimo el programa por si le quieren echar una miradita
Citar

http://www.mediafire.com/?84sfzjrl5eb9fr5


- El caso tambien es que de un modo u otro no logro llegar siquiera a la OEP que me arroja el plugin de Peid o algun rastro de la IAT

Este Sin mas que decir a ver que estoy haciendo mal xD, quizas mi error este en que tenga mucho tiempo sin repasar no habia tocado nada desde hace time pero si puedo descoomprir con el Ollydbg en menos de 1 min UPX y Aspack aunque eso lo hace cualquier principiante como yo xD ... quizas me este metiendo a la candela muy rapido y por eso me tranque un poco, pero una ayudadita no vendria mal, Saludos xD

apuromafo CLS

jiji, te pasa porque hay 2 packer y no 1
el primero es asprotect y ademas la la version esta mal
Version Info:
[Project64K7E], [1.3.0],
protegido con  [2.56 build 03.17], registrado a nombre de [Juan].
luego llegamos a este oep

00401000 > $ B8 00DF4E00    MOV EAX,Project6.004EDF00
00401005   . 50             PUSH EAX
00401006   . 64:FF35 000000>PUSH DWORD PTR FS:[0]
0040100D   . 64:8925 000000>MOV DWORD PTR FS:[0],ESP
00401014   . 33C0           XOR EAX,EAX
00401016   . 8908           MOV DWORD PTR DS:[EAX],ECX
00401018   . 50             PUSH EAX

osea esto es PECOMPACT

luego para seguir con el unpacking el oep es este
004EDFBF   5B               POP EBX
004EDFC0   5D               POP EBP
004EDFC1   FFE0             JMP EAX->EAX=00459716 (Project6.00459716)

osea el OEP de los 2 packeds es:
00459716   55               PUSH EBP
00459717   8BEC             MOV EBP,ESP
00459719   6A FF            PUSH -1
0045971B   68 10164600      PUSH Project6.00461610
00459720   68 A4864500      PUSH Project6.004586A4
00459725   64:A1 00000000   MOV EAX,DWORD PTR FS:[0]
0045972B   50               PUSH EAX
0045972C   64:8925 00000000 MOV DWORD PTR FS:[0],ESP
00459733   83EC 58          SUB ESP,58
00459736   53               PUSH EBX
00459737   56               PUSH ESI
00459738   57               PUSH EDI
00459739   8965 E8          MOV DWORD PTR SS:[EBP-18],ESP
0045973C   FF15 40014600    CALL DWORD PTR DS:[460140]               ; kernel32.GetVersion
00459742   33D2             XOR EDX,EDX



la estrategia más rapida es colocar un Bp en ejecución en 00459716 y ejecutar y luego remover el bp en ejecucion (hwbp) hasta que llegues al codigo
dumpear y reparar supongo que lo sabes..es como si fuera upx esto luego

respecto a la dll es la misma cosa asprotect mas el packed..

el entrypoint es este
10012BB4     8BFF           MOV EDI,EDI
10012BB6  /. 55             PUSH EBP
10012BB7  |. 8BEC           MOV EBP,ESP
10012BB9  |. 837D 0C 01     CMP DWORD PTR SS:[EBP+C],1
10012BBD  |. 75 05          JNZ SHORT kaillera.10012BC4
10012BBF  |. E8 22050000    CALL kaillera.100130E6
10012BC4  |> FF75 08        PUSH DWORD PTR SS:[EBP+8]
10012BC7  |. 8B4D 10        MOV ECX,DWORD PTR SS:[EBP+10]
10012BCA  |. 8B55 0C        MOV EDX,DWORD PTR SS:[EBP+C]
10012BCD  |. E8 CCFEFFFF    CALL kaillera.10012A9E
10012BD2  |. 59             POP ECX
10012BD3  |. 5D             POP EBP
10012BD4  \. C2 0C00        RETN 0C



adjunto por ejemplo que se puede desempacar manual:
henryxs87
http://www.mediafire.com/?2hq8dm8457ytmar

saludos Apuromafo




henryxs87

:o recontraaaa :o  lo veo y no lo creo tan facil era de desempacar  ;D

- Pues hice tal cual como me dijiste, claro tildando todas las excepciones porque ese metodo que vaa xDD
y llegue a la OEP que me marcaba el PEID

- luego con el import recontructor puse el valor para reparar IAT, importando todo y todo OK

- Revise por dentro con Pe Explorer y se puede acceder todo, solo que a ti te quedo mas pequeño el dump que el mio xD, hiciste alguna limpieza adicional por lo que veo


- Ahora viene la pregunta que ha pasado ¿porque me ha fallado la identificacion del packer? ¿como estar seguros de que estamos con el packer correcto, claro tambien ayuda conocer la estructura de cada uno xD? ¿el peid y RDG packer detector tienen errores y no hay que fiarse?

- Lo de la DLL no me habia fijado pero si tiene Asprotect + PEcompat o aspack bueno tambien lo vere tambien sirve para practicar xD

- De cualquier forma muchas gracias por la ayuda y usaste una tecnica digana de todo ingeniero, porque el ingeniero busca el camino mas facil y lo hais hecho.

apuromafo CLS

será que he desempacado tantos programas, que aveces uno intenta varias soluciones antes de confirmar si corre
actualmente nisiquiera confio en los oep(debido al thinisthall y otros que emulan como stolen)..pero este se nota normal..asi que ta bn :D

que bueno que te sirvio para orientarte
saludos Apuromafo

perfect18

Amigos necesito que me ayuden a desempacar este ejecutable, esta protegido por asprotect 1.23 si alguien prodria ayudarme se lo agradeceria...

rylvzla.sytes.net/cilent.exe



MCKSys Argentina

No sé si te has dado cuenta, pero el último post de este thread data del 21 Julio 2012.

Deberías haber creado un post nuevo.

Además: Hasta dónde has llegado por tus propios medios? (por lo que veo, haz probado con stripper).
Haz leído algo sobre el tema?
Haz visto esta sección http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html?
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


perfect18

probe algunos programas de ingenieria inversa pero no resultaron. y si tienes razon creare un nuevo post gracias...