Ayuda con ImportREConstructor

Iniciado por AngelFire, 27 Septiembre 2013, 07:14 AM

0 Miembros y 1 Visitante están viendo este tema.

AngelFire

Estoy intentando hacer un unpacking de Avfucker que esta comprimido con FSG 2.0. He visto varios tutoriales y realizado busquedas en google pero no obtengo resultados. Esta claro que el OEP es 7E35C el cual lo mismo se puede obtener con Peid que con el plugin Ollydump o simplemente con Ollydbg. Pero a la hora de utilizar el  ImportREConstructor es cuando vienen mis problemas porque no entiendo bien la parte de entrar RVA y el Size correspondiente. En algunos tutoriales he visto que ponen RVA 1000 y Size 1000 justificando que la size es demasiado larga en algunos casos como dice el buscador de IAT pero nada no me funciona. Nunca he podido hacer los cut thunk de los invalidos porque ponga lo que ponga se marca todo y no las FFFFFF como sale en los tutoriales. El tutorial que normalmente sale con msheart me sale bien todo pero a la hora de poner la practica sobre este fichero nada.

Por que necesito Avfucker sin compresion?
Lo necesito porque tengo un dsplit que no detectan los antivirus y quiero poner en practica este software para que el KAV no detecte al AVfucker como un vir32tool.
Esto no puedo hacerlo si el fichero esta comprimido con FSG 2.0 porque tendria que editarlo con cualquier editor hexadecimal para lograr el objetivo.

Saludos a todos y gracias a los que aunque sea lean estas lineas, sigo en mi busqueda y si no lo logro igual aprendere cosas nuevas.


tincopasan

Lee más! busca el inicio de la iat y el final, el inicio menos la image base es el primer valor, y el size es la diferencia entre el final y el inicio, no se puede poner así porque si lo que dicen otros tutoriales, salvo claro está que sea el mismo soft.
en el peor de los casos ese packer es muy  fácil, busca en la página de Ricardo Narvaja que hay varios tutes y por la red circulan varios unpackers., pero como dije tenes que leer un par de tutos más.

AngelFire

Consegui otro en internet sin compresion, el Avfucker esta desarrollado en Delphi, he leido varias veces el curso de  Ricardo Narvaja, excelentismo .La mayoria de lo que se de crack es de ahi, solo que siempre me leo solo el principio y me quedo en las primeras lecciones. Creo que no he leido mas alla de la 15 pero prometo algun dia ponerme serio en el asunto y leerlo completo, esta realmente bueno y denso. Hice un pack con el nuevo AVfucker y me vuele a dar la OEP 7E35C solo que esta vez la size es 12300 en vez de 12200 tratandose de la misma version de programa 1.1.2. Y tampoco le pude hacer unpacking. Estoy seguro que el detalle esta en el IAT Search. Gracias por la ayuda aunque basico desconocia que:

"el inicio menos la image base es el primer valor, y el size es la diferencia entre el final y el inicio"

Ya que casi todo lo que encontre estaba en ingles creo que este detalle es el que omito. Mañana retomo el unpacking de FSG 2.0 del AVfucker aunque no es mi objetivo. Ya que solo quiero hacer DSPLIT a AVfucker para que KAV no lo detecte.

Me fundi 3:04 AM.



x64core

Porque la gente aqui si no ayuda que pare de escribir ya que no es obligatorio responder, si es tan facil porque
se ayuda? Otros viene diciendo que quieren un crack hecho o cosas por el estilo y este chico ya busco y ya lo intento
y denuevo le mandar a buscar o un carajo. otros le dicen que no venden pescado o un carajo.

@AngelFire: Postea el programa para desempaquetarlo.

.:UND3R:.

Las ciencias de las ingeniería inversa, no tiene una sola solución única, si te basas en la forma de reparar una IAT de x programa, en x sistema operativo, este será funcional solo para tal programa y solo para tal x sistema operativo.

Me parece bien que ya sepas indagar en la IAT y que sepas que ImportReConstructor, es capas de ayudarte en lo que necesitas, pero:

¿Sabes que es IAT?
¿Sabes que significan estas siglas?
¿Sabes por qué lo usa el sistema?

La IAT = import address table

Tabla de direcciones de importación.

Debido a las constantes actualizaciones de los SO (aplicaciones, parches, librerías) por lo cual se debe seguir un estandar de la forma en que los programas que utilizan librerías externas deben acceder a ellas, para ello la existencia de la IAT.

Ya sabiendo de que tema estamos hablando logramos deducir, sin siquiera pedir ayuda de que cada IAT es distinta, sin importar el packer, ya que programa X utilizará ciertas librerías las cuales no serán lo mismo que programa Y.

Para localizar la IAT, se debe obtener una llamada a alguna librería (API), con ella se dirige uno hacia el salto, el cual nos lleva a la IAT, luego se procede a buscar el inicio, si utilizar OllyDbg, este muestra las direcciones de memoria en VA (Import pide el inicio de forma RVA, por lo cual deberás restar la Image base), y el final es cuando no se encuentra ninguna referencia ha alguna llamada.

Destacar que la IAT separa las APIs dependiendo de las librerías (separación de 4 bytes o un Word)

También debes saber como el sistema sobre-escribe la IAT, antes del Entry Point.
El sistema localiza la dirección de la IT (mport table o tabla de importaciones), una vez localizada de comienza a leer el contenido de los IID (image import descriptor), un conjunto de cinco valores dword. Se destacan el cuarto y quinto parámetro:
- cuarto parámetro nombre de la dll.
- quinto parámetro, dirección generalmente dentro de la IAT, este campo (RVA) posee el nombre de la API, la cual obtiene su dirección a través de la API
GetProcAddress.

Si buscas en la página que comenta tincopasan, encontrarás el tutorial de introducción al cracking con ollydbg o si gustas buscar información específica del packer.

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

AngelFire

Cita de: x64Core en 28 Septiembre 2013, 04:50 AM
Porque la gente aqui si no ayuda que pare de escribir ya que no es obligatorio responder, si es tan facil porque
se ayuda? Otros viene diciendo que quieren un crack hecho o cosas por el estilo y este chico ya busco y ya lo intento
y denuevo le mandar a buscar o un carajo. otros le dicen que no venden pescado o un carajo.

@AngelFire: Postea el programa para desempaquetarlo.


No entiendo nada de lo que dices, creo que esta cifrado  :xD, siempre he encontrado ayuda aqui, aunque quizas no siempre tan masticado como uno quiere pero al menos siempre algun aporte. Ya el echo de que te lea alguien es algo. Quizas si no obtienes todo lo que quieres deberias ver la forma de preguntar claro que antes debes tener un minimo conocimiento para que no te pase como a mi que a veces se me van preguntas que termino respondiendome yo mismo :silbar:

Aqui tiene los enlaces esta con password porque kaspersky no solo detecta virus y troyanos, tambien exploits, hacktool y virtool. Usalo bajo tu responsabilidad ya que como siempre se dice y asi lo respeto yo es con fines educativos.

http://angelfire.serveftp.com/AnyOne/AnyOne/

Si conoces un sitio mejor de habla hispana que elhacker.net hazmelo saber pues de tantos que me he registrado este es uno de los pocos que escogi para quedarme.

Saludos a todos. Aun pendiente de hacer el unpacking de FSG 2.0 al AVfucker



AngelFire

#6
Cita de: .:UND3R:. en 28 Septiembre 2013, 06:08 AM
Las ciencias de las ingeniería inversa, no tiene una sola solución única, si te basas en la forma de reparar una IAT de x programa, en x sistema operativo, este será funcional solo para tal programa y solo para tal x sistema operativo.

Me parece bien que ya sepas indagar en la IAT y que sepas que ImportReConstructor, es capas de ayudarte en lo que necesitas, pero:

¿Sabes que es IAT?
¿Sabes que significan estas siglas?
¿Sabes por qué lo usa el sistema?

La IAT = import address table

Tabla de direcciones de importación.

Debido a las constantes actualizaciones de los SO (aplicaciones, parches, librerías) por lo cual se debe seguir un estandar de la forma en que los programas que utilizan librerías externas deben acceder a ellas, para ello la existencia de la IAT.

Ya sabiendo de que tema estamos hablando logramos deducir, sin siquiera pedir ayuda de que cada IAT es distinta, sin importar el packer, ya que programa X utilizará ciertas librerías las cuales no serán lo mismo que programa Y.

Para localizar la IAT, se debe obtener una llamada a alguna librería (API), con ella se dirige uno hacia el salto, el cual nos lleva a la IAT, luego se procede a buscar el inicio, si utilizar OllyDbg, este muestra las direcciones de memoria en VA (Import pide el inicio de forma RVA, por lo cual deberás restar la Image base), y el final es cuando no se encuentra ninguna referencia ha alguna llamada.

Destacar que la IAT separa las APIs dependiendo de las librerías (separación de 4 bytes o un Word)

También debes saber como el sistema sobre-escribe la IAT, antes del Entry Point.
El sistema localiza la dirección de la IT (mport table o tabla de importaciones), una vez localizada de comienza a leer el contenido de los IID (image import descriptor), un conjunto de cinco valores dword. Se destacan el cuarto y quinto parámetro:
- cuarto parámetro nombre de la dll.
- quinto parámetro, dirección generalmente dentro de la IAT, este campo (RVA) posee el nombre de la API, la cual obtiene su dirección a través de la API
GetProcAddress.

Si buscas en la página que comenta tincopasan, encontrarás el tutorial de introducción al cracking con ollydbg o si gustas buscar información específica del packer.

Excelente, casi todo lo que pones aqui es nuevo para mi me ahorraste algo de tiempo. Buscar en google no es dificil, usar las palabras correctas es un tanto mas dificil ;D. Gracias por el aporte ;-). Suena algo complejo pero estoy seguro que cuando se lleve a la practica sera mas facil.


x64core