Ayuda con .DLL

Iniciado por .:UND3R:., 8 Abril 2013, 02:27 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

.:UND3R:.

8 Abril 2013, 02:27 AM
Hola a todos, tanto tiempo, espero que esté bien, bueno les comento que necesito su ayuda, nunca pido favores pero esta dll no me da, les pido por favor si alguien puede hacerle un unpack, se los pido, ando a falta de tiempo, se los agradecería desde el fondo de mi corazón (es una DLL importante para mi).

http://www.mediafire.com/?crgqqqr13qyxzw5

Muchas gracias

UND3R

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

.:UND3R:.

#1
8 Abril 2013, 04:14 AM
Agrego script e información recolectada:

OEP   5A32
INICIO 12000
SIZE   200
IMGBASE 35E00000

Script:

Código [Seleccionar]
// Protection Plus 4.xx OEP Finder & Import Fixer by GaBoR {RES}
var v
var t
sto
sto
mov t,esp
bphws t,"r"
find eip,#01E8FFD0#
mov v,$RESULT
add v,0D
bphws v,"x"
run
bphwc v
mov v,eax
sto
find v,#83F80377#
mov v,$RESULT
repl v,#83F80377#,#83F803EB#,4
run
bphwc t
sto
sto
cmt eip," This is the OEP!"
msg "Dump & fix IAT somehow!"

No logro saber a que API apunta: 35E1213C (una sin resolver)


Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

tincopasan

#2
8 Abril 2013, 06:27 AM Ultima modificación: 8 Abril 2013, 06:46 AM por tincopasan
ya lo tenés! apunta a GetProcAddress y listo.

https://mega.co.nz/#!eIUiCSgD!FzAsNHk90-qriAVWf9VAlDdIRvlmBsIg6y8KFgf4f7g

soy un perro para los packers pero la podés probar a ver si anda.
Ahh si en vez de con el script la haces a mano, EBP apunta a la api y Edi la dirección!

MCKSys Argentina

#3
8 Abril 2013, 09:00 AM
Como dice Tinco, es GetProcAddress.

Esto se delata en:

Código (asm) [Seleccionar]

35E06100  /$  8BFF             MOV EDI,EDI
35E06102  |.  55               PUSH EBP
35E06103  |.  8BEC             MOV EBP,ESP
35E06105  |.  68 2C23E135      PUSH 3D.35E1232C                         ;  UNICODE "mscoree.dll"
35E0610A  |.  FF15 3021E135    CALL DWORD PTR DS:[35E12130]
35E06110  |.  85C0             TEST EAX,EAX
35E06112  |.  74 15            JE SHORT 3D.35E06129
35E06114  |.  68 1C23E135      PUSH 3D.35E1231C                         ;  ASCII "CorExitProcess"
35E06119  |.  50               PUSH EAX
35E0611A  |.  FF15 3C21E135    CALL DWORD PTR DS:[35E1213C]
35E06120  |.  85C0             TEST EAX,EAX


Es la típica secuencia LoadLibrary - GetProcAddress... ;)

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

.:UND3R:.

#4
8 Abril 2013, 11:53 AM
Múchísimas gracias  :o, no saben lo cual feliz estoy, probaré si la dll corre, luego les comento, saludos :)

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

.:UND3R:.

#5
8 Abril 2013, 12:36 PM
Les comento que todo salió a la perfección, saludos.  ;-)

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Imprimir
Ir Arriba Páginas1
Acciones del Usuario