Hola gente estoy asiendo pruevas con el asprotect y empaque un ejecutable hecho por mi y logre llegar a el OEP basandome en el original al reparar el IAT con el ImportReconstructor sale Yes todo pero al querer ejecutar el exe desempacado no se ejecuta, nose por que, es lo que quiero que me digan que me hace falta...
Lo que pienso es que el IAT no quedo todo reparado, creo que las direcciones apuntan como si estubiera empacado con el Asprotect bueno eso es lo que pienso pero nose como repararlo.
Saludos flamer y tincopasan aver si me puedes ayudar ya que siempre has estado presente en mis mensajes publicos gracias por tu ayuda
Link de muestras.
ultrashare.net/hosting/fl/7d80f0060d
(http://ultrashare.net/hosting/fl/7d80f0060d)
Nota: perdonen las faltas de ortografia
flamer:
por lo poco que pude ver te falta resolver los saltos emulados a la iat.
si miras arriba del oep tenes:
00401250 - FF25 60104000 JMP DWORD PTR DS:[<&msvbvm60.EVENT_SINK_>; msvbvm60.EVENT_SINK_Release
00401256 - FF25 A4104000 JMP DWORD PTR DS:[<&msvbvm60.ThunRTMain>>; msvbvm60.ThunRTMain
¿notas que te faltan muchas llamadas a la iat? comparalo con el original
ahora bien justo más arriba veras:
00401202 E8 F9EDBE00 CALL 00FF0000
0040122C E8 CFEDBE00 CALL 00FF0000
sino ves eso es que tenes que remover el analisis del code, bueno esas son call a las api emuladas por asprotect y te faltan resolverlas.
como soy muy perro para explicar te recomiendo este tute:
http://ricardonarvaja.info/WEB/CONCURSOS%202011/CONCURSO%207/UnPacking_KeyGening_KeygenME3%20(VB)%20ASProtect%20SKE%20v2.56%20+%20%5bScript%5d_By_InDuLgEo.rar
cualquier duda pregunta! saludos
gracias tinco boy a leer el tutorial y cualquier duda boy a preguntar
saludos
pues asprotect no es nada facil, aveces se te van detalles
1) hay asprotect que en xp se desempacan a mano, y al abrir en vista estan registrados(raro pero ocurria en muchos de los que conoci)
2) hay plugins que facilitan, pero basta que tenga sdk y ya todo se va para abajo
3) es muy diferente desempacar con la licencia(asprotect,dongle) que sin estos presentes
4) respecto al escrito de indulgeo recuerdo que cuando use el plugin Codedoctor en olly 1.1 encontre algo para complementar el script de indulgeo
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1390-%20complemento%20al%20unpack%20con%20codedoctor_asprotect%20del%20concurso.7z
eso, actualmente es lo que te dice tincopasan, si quieres desempacar por tool existe el codedoctor como plugin, y como externos, hay 2 o 3 tools, algunas script de volx, otras como unpacker de pekill, y otra como stripper
saludos Cordiales Apuromafo
pd:es para mi siempre factible usar tools por tema de tiempo, pero no siempre hago uso de ellas
respecto a mis sugerencias, pues si quieres saber mas opciones de asprotect, deberias entrar en los ataques de rsa que posee(keygening en asprotect en Unpack.cn), por otro lado la maquina virtual de asprotect es realmente densa, deroko dio un solo paper(era algo simple el que muestra, la actual tiene mas instrucciones), pero solo son de las sdk complicadas, por otro lado hay teams que se han dedicado por completo en estos temas y tienen mas experiencias...Team Res es uno de ellos
bueno, eso cuidate bro y suerte en el unpack
si quieres probar un unpacked que resulte:
http://forum.tuts4you.com/topic/28653-decomas-v17-b1-asprotect-unpacker-by-pe-kill/?hl=decomas
luego lo editas manual lo otro ;) saludos
gracias por el apoyo apuromafo boy aver los link, ya que estoy asiendo pruebas con el asprotect en mis ratos libres, pero a veces me enfada y a veces le sigo.
Lo que me interesaba es saber como reparar el archivo, no e leido los tutos pero ya los baje y pienso que simeban a servir
saludos flamer y gracias a los dos
Ciertamente si el Asprotect es completo suele resultar muy complejo.
Tena hizo un tute muy bueno, no recuerdo el número pero está en la web de Ricardo.
Yo el último que analicé me pegué muchísimo tiempo hasta desempacarlo y hacerlo funcionar, porque hacía uso de máquina virtual, stolen bytes, llamadas intermodulares redirigidas al packer, IAT destrozada y emulada y encima como era un Delphi pues las llamadas de inicialización/finalización también hechas polvo.
Como te han dicho apuromafo y tincopasan yo también usé codedoctor, es excelente pero no te fies de él al 100%. Mi consejo es que analices programas hechos con el mismo compilador. Por ej. si analizas un Delphi6, busca otros Delphi 6 para comparar...
Suerte...