Este primero que todo un cordial saludos a la comunidad, resulta que este packer me ha dado problemas porque he usado varias herramientas para intentar descomprimirle pero todas me han fallado:
- DecomaS / Codedoctor(del ollydbg que me funciono con un crackeme) / Generic Unpack 0.5 Sin resultado favorable.
- Ya mire esto http://ricardonarvaja.info/WEB/buscador.php me descargue algunos
- ASProtect 1.2x Plugin de Ollydbg me da error, lo extraño es que funcionanaba cuando dejaba la carpeta de plugins vacia, solo con esa, si le agragaba cualquiera al azar daba error, de hecho le use porque en un tuto especificaba su uso pero nada que ver xD
- Uso Windows XP SP3 obviamente desactivo el antivirus para estas cosas
- Por la razones de arriba toca recurrir al metodo manual siguiendo tutos claro este, escepto por las dudas que se me generan y cosas que me sacan de onda.
- Uso el clasico Ollydbg 1.10 con el IsDebugPresent porque sin el me detecta del Debugger y no hago nada, ademas de tener el Ollydump, comandbar y demas
En la imagen de a continuacion pongo la deteccion del packer y la OEP(http://i.imgur.com/LDEOf.png) (http://i.imgur.com/6lC0I.png)
En la primera arrancada sin ejecutar nada me sale esto, que segun muchos tutes es la estructura clasica del asprotect(http://i.imgur.com/iPWGG.png)
Si traceo un poquito con F7 llego a esto, aunque quizas no sea valido para este tipo de packer pues solo por intentar
(http://i.imgur.com/nivGe.png)
En mi caso decidi usar este tute bueno ya revise varios usan el procediiento ese de las excepciones http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1043-Destripando%20el%20Asprotect%201.23%20del%20Aspack%202.12.pdf (Este porque es el mas explicado aunque ya he visto varios)
F9 >=> Shift F9 Veces hasta la ultima excepcion, el Shift F7, El BPM hasta llegar al supuesta OEP Pero para mi mala suerte luego de eso no llegue al OEP? porque pasa eso :S ... quizas el metodo que use no sea el mas eficaz porque
solo me tira 2 excepeciones, a claro que destilde todas las casilla de Opciones => excpeciones excepto la de kernel32 ... OSea Uso el metodo de las excepciones cuando este no genera casi nada xDDD
(http://i.imgur.com/mzWfm.png)
Este es otro Tute que consegui de
ArikA en su estudio completo del desempaquetador aspack 1.23 http://ricardonarvaja.info/WEB/OTROS/AKIRA%20TODO/10.%20Estudio%20completo%20del%20empaquetador%20Asprotect%201.23.rar
- Trace como la imagen de arriba(Donde esta el PUSHAD) siguiendo luego los pasos
CitarVale, ya conocemos el procedimiento, vamos a esp, pinchamos con el derecho y ponemos folow in dump
A continuacion vamos a la sección dump pinchamos en el primer byte y ponemos breakpoint hardware on access – dword.
Damos a run y despues de una rutina IsDebuggerPresent, unas excepciones( pasamos con shift+f9) y de un cuadro de dialogo , saltamos a una instrucción popa y despues vienen un mov 401000 a eax, push eax y retn
(http://i.imgur.com/aamPL.png)
Y por ultimo el programa por si le quieren echar una miradita Citar
http://www.mediafire.com/?84sfzjrl5eb9fr5
- El caso tambien es que de un modo u otro no logro llegar siquiera a la OEP que me arroja el plugin de Peid o algun rastro de la IAT
Este Sin mas que decir a ver que estoy haciendo mal xD, quizas mi error este en que tenga mucho tiempo sin repasar no habia tocado nada desde hace time pero si puedo descoomprir con el Ollydbg en menos de 1 min UPX y Aspack aunque eso lo hace cualquier principiante como yo xD ... quizas me este metiendo a la candela muy rapido y por eso me tranque un poco, pero una ayudadita no vendria mal, Saludos xD
jiji, te pasa porque hay 2 packer y no 1
el primero es asprotect y ademas la la version esta mal
Version Info:
[Project64K7E], [1.3.0],
protegido con [2.56 build 03.17], registrado a nombre de [Juan].
luego llegamos a este oep
00401000 > $ B8 00DF4E00 MOV EAX,Project6.004EDF00
00401005 . 50 PUSH EAX
00401006 . 64:FF35 000000>PUSH DWORD PTR FS:[0]
0040100D . 64:8925 000000>MOV DWORD PTR FS:[0],ESP
00401014 . 33C0 XOR EAX,EAX
00401016 . 8908 MOV DWORD PTR DS:[EAX],ECX
00401018 . 50 PUSH EAX
osea esto es PECOMPACT
luego para seguir con el unpacking el oep es este
004EDFBF 5B POP EBX
004EDFC0 5D POP EBP
004EDFC1 FFE0 JMP EAX->EAX=00459716 (Project6.00459716)
osea el OEP de los 2 packeds es:
00459716 55 PUSH EBP
00459717 8BEC MOV EBP,ESP
00459719 6A FF PUSH -1
0045971B 68 10164600 PUSH Project6.00461610
00459720 68 A4864500 PUSH Project6.004586A4
00459725 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0045972B 50 PUSH EAX
0045972C 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
00459733 83EC 58 SUB ESP,58
00459736 53 PUSH EBX
00459737 56 PUSH ESI
00459738 57 PUSH EDI
00459739 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
0045973C FF15 40014600 CALL DWORD PTR DS:[460140] ; kernel32.GetVersion
00459742 33D2 XOR EDX,EDX
la estrategia más rapida es colocar un Bp en ejecución en 00459716 y ejecutar y luego remover el bp en ejecucion (hwbp) hasta que llegues al codigo
dumpear y reparar supongo que lo sabes..es como si fuera upx esto luego
respecto a la dll es la misma cosa asprotect mas el packed..
el entrypoint es este
10012BB4 8BFF MOV EDI,EDI
10012BB6 /. 55 PUSH EBP
10012BB7 |. 8BEC MOV EBP,ESP
10012BB9 |. 837D 0C 01 CMP DWORD PTR SS:[EBP+C],1
10012BBD |. 75 05 JNZ SHORT kaillera.10012BC4
10012BBF |. E8 22050000 CALL kaillera.100130E6
10012BC4 |> FF75 08 PUSH DWORD PTR SS:[EBP+8]
10012BC7 |. 8B4D 10 MOV ECX,DWORD PTR SS:[EBP+10]
10012BCA |. 8B55 0C MOV EDX,DWORD PTR SS:[EBP+C]
10012BCD |. E8 CCFEFFFF CALL kaillera.10012A9E
10012BD2 |. 59 POP ECX
10012BD3 |. 5D POP EBP
10012BD4 \. C2 0C00 RETN 0C
adjunto por ejemplo que se puede desempacar manual:
henryxs87
http://www.mediafire.com/?2hq8dm8457ytmar
saludos Apuromafo
:o recontraaaa :o lo veo y no lo creo tan facil era de desempacar ;D
- Pues hice tal cual como me dijiste, claro tildando todas las excepciones porque ese metodo que vaa xDD
y llegue a la OEP que me marcaba el PEID
(http://i.imgur.com/pq7aK.png)
- luego con el import recontructor puse el valor para reparar IAT, importando todo y todo OK
- Revise por dentro con Pe Explorer y se puede acceder todo, solo que a ti te quedo mas pequeño el dump que el mio xD, hiciste alguna limpieza adicional por lo que veo
(http://i.imgur.com/kUQoJ.png)
- Ahora viene la pregunta que ha pasado ¿porque me ha fallado la identificacion del packer? ¿como estar seguros de que estamos con el packer correcto, claro tambien ayuda conocer la estructura de cada uno xD? ¿el peid y RDG packer detector tienen errores y no hay que fiarse?
- Lo de la DLL no me habia fijado pero si tiene Asprotect + PEcompat o aspack bueno tambien lo vere tambien sirve para practicar xD
- De cualquier forma muchas gracias por la ayuda y usaste una tecnica digana de todo ingeniero, porque el ingeniero busca el camino mas facil y lo hais hecho.
será que he desempacado tantos programas, que aveces uno intenta varias soluciones antes de confirmar si corre
actualmente nisiquiera confio en los oep(debido al thinisthall y otros que emulan como stolen)..pero este se nota normal..asi que ta bn :D
que bueno que te sirvio para orientarte
saludos Apuromafo
Amigos necesito que me ayuden a desempacar este ejecutable, esta protegido por asprotect 1.23 si alguien prodria ayudarme se lo agradeceria...
rylvzla.sytes.net/cilent.exe (http://rylvzla.sytes.net/cilent.exe)
(http://rylvzla.sytes.net/dibujo.bmp)
No sé si te has dado cuenta, pero el último post de este thread data del 21 Julio 2012.
Deberías haber creado un post nuevo.
Además: Hasta dónde has llegado por tus propios medios? (por lo que veo, haz probado con stripper).
Haz leído algo sobre el tema?
Haz visto esta sección http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html (http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html)?
probe algunos programas de ingenieria inversa pero no resultaron. y si tienes razon creare un nuevo post gracias...