Ayuda para desempacar exe protegido con ASPack v2.12

Iniciado por alex_marchello, 4 Mayo 2011, 00:34 AM

0 Miembros y 1 Visitante están viendo este tema.

alex_marchello

Estimados amigo
Soy nuevo en este foro y me presento me llamo Marcelo Barberis y soy de Bolivia y tengo un archivo exe que esta protegido con ASPack v2.12 si alguien puede ayudarme se lo agradeceria mucho.
Use la herramientoa RDG Packer Detector y da esta informacion en Multi-Detec
Aspack Deteccion Heuristica
Aspack v2.0 - v2.12
Aspack v2.000
Aspack v2.12
Utilize la herramienta AspackDie 1.4
despues de utilizarlo le paso nuevamente RDG Packer Detector y me da esta info
PowerBASIC/Win 8.00
Nada
despues uso la opcion M-B y depues detecta
Microsoft Visual Foxpro
Aspack v2.12
Aspack Deteccion Euristica
y en Multiples Detecciones me da esto
Aspack Deteccion Heuristica
Aspack v2.0 - v2.12
Aspack v2.000
Aspack v2.12
He querido utiliza olligDBg siguiendo unos manuales de la web pero en estos manuales hablan de un OEP pero en el ollig no encontre OEP de este exe por lo que quede al inicio sin poder continuar.
Alguien tiene experiencia en eliminar estas protecciones ASPack v2.12 para que me de una mano, si tienen alguna bibliografia con este tipo de protecciones, quiero eliminar este ASPack desde hace bastante tiempo por mi cuenta y no lo consigo por eso recurro a ustedes por si saben de algo que me pueda ayudar.
Si desean les puedo enviar el exe para que revisen, este es mi email si tienen interes alexmarce40@gmail.com
De antemano gracias por cualquier ayuda
Marcelo Barberis

gastonp

Hola alex, si no queres complicarte mucho podes usar esta aplicacion:

http://www.zerorev.net/reversing/Unpackers,%20Dumpers%20and%20Decrypters/Pmak%202/Pmak%202.rar

Se llama pmack, yo lo he usado varias veces con ejecutables protegidos con Aspack 2.12
Espero que te sirva a vos tambien.
Saludos

apuromafo CLS

aver si no olvido, es

pushad bp en access dword en stack , popad, luego se crea en runtime un push oep+ret, luego al pasar el ret, estas en el OEP(original entry point)
aveces pueden haber mas de un packer, pero vamos ,luego de aquello hay que verificar si hay overlay,

despues de utilizarlo le paso nuevamente RDG Packer Detector y me da esta info
PowerBASIC/Win 8.00
Nada
despues uso la opcion M-B y depues detecta
Microsoft Visual Foxpro

pero lo has abierto el unpacked?

recuerda que es necesario que el unpacked, derrepente tenga ciertos permisos en las secciones, o bien que tenga su overlay


aver busquemos ejemplos de tutoriales de aspack (supongo ya leiste los escritos de ricardo, esta desde el primer chincheta comentado que esta en
ricardonarvaja.info

veamos:
aspack+upx
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/294-ASpack%26UPX_by_%2BNCR.rar

aspack solo
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/262--ASpack212_CoolFolder40_by_%2BNCR.rar
http://ricardonarvaja.info/WEB/CONCURSOS%20VIEJOS/CONCURSOS%20MAS%20ANTIGUOS/REQUETECONCURSOS%20NUEVOS/CONCURSO%2044/RQT44%20Nivel%202%20-%20Desempacado%20de%20ASPack%20%28por%20DeAtH%29.rar
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/101-200/111-%20Desempacado%20del%20programa%20ASpack_211d%20por%20arapumk.zip
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/101-200/154-UN%20ASPACK%20programa%20Taskman%20por%20AnsGaryYunllet.zip
http://ricardonarvaja.info/WEB/OTROS/COLABORACIONES/COLABORACIONES/Mekatrix%2031.-%20Jugando%20con%20las%20Apis%20Aspack%202.11%20y%202.00.rar
http://ricardonarvaja.info/WEB/OTROS/COLABORACIONES/COLABORACIONES/01-UnpackingASPackv2.12%5BACEHIGH%5D.zip
http://ricardonarvaja.info/WEB/OTROS/AKIRA%20TODO/2.%20Estudio%20completo%20del%20empaquetador%20Aspack%202.12.rar


http://ricardonarvaja.info/WEB/CONCURSOS%202009/CONCURSO%2018/SolucionASPack2.2Concurso18.doc
http://ricardonarvaja.info/WEB/CONCURSOS%202009/CONCURSO%2018/unaspack_c18_CarpeDiem.pdf


aspack /realmente asprotect (todo referia que era aspack pero era asprotect)
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1172-Desempacando%20al%20protegido%20de%20aspack%201.1.pdf.7z

aspack+armadillo
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1026-Armadillo%2Baspack_por%20solid.rar
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1028-armadillo%2Baspack_parte%202%20solid.rar


saludos Apuromafo


alex_marchello

Estimados
Le cuento lo que hice siguiento algunas guias que encontre en la Web, siguiendo estos pasos, aver que me dicen ustedes que tienen mas experiencia.
1.- Abri el exe en ollydbg
2.- presione f7 para pasar a la siguiente linea
3.- Me ubique en el ESP y presione boton derecho y elegi la opcion FOLLOW IN DUMP
4.- seleccione lo 4 primero caracteres de HEW DUMP y le hice click con boton derecho BREAKPOINT - HARWARE ON ACCES - DWORD
5.- presiono F9
6.- presiono F7 - F7 Hasta llegar a RETN y alli encuentro el OEP (00403C94)
7.- Presiono nuevamente F7
8.- Me voy a Plugins - OLLYDUMP - OLLY DUMP DEBBUGED PROCESS
9.- Me copio el OEP que me aparece alli que es 3C94 para posterior
10.- Le hago click en DUMP le pongo un nombre y lo guardo
11.-Ahora abro el programa ImportREC
12.- Busco el proceso del archivo que estoy trabajando
13.- Cambio el OEP "001B2001" ==> "0003C94" y doy click en IAT AutoSearch
14.- Aqui esta el problema no me aparece el mensaje "Found Address wich may be in the original IAT. TRY get import. Me aparece este Coult not find anything good at this OEP
15.- para luego continuar con GET IMPORT y me aparece mejor dicho no me aparece valid:Yes
por consiguiente creo que no lo hice bien
Alguna recomendacion, si quieren puedo enviarles el exe para que ustedes lo revisen, me dejan su correo para que se los envie.
De antemano gracias por sus comentarios
Marcelo Barberis

apuromafo CLS

una consulta
001B2001" ==> "0003C94

cuanto es tu imagebase?
que muestra tu oep?
pd: despues que llego al oep, pues intenta borrar el bp en access, piensa cuidar un poco al pc xD

**

a import rec siempre se le agrega el rva , no suelo usar esos automáticos a menos que sea extremo.

aver luego del oep, intentas bajar al primer call y con f7 entras, con f8 pasarias de largo, no  el f7 entras y veras , y ves algo como

jmp dword prt (direccion) /call dword ptr, no recuerdo como sale normalmente
pero le das para seguir en el dump   esa direccion tiene algo asi

direccion:nombre de la api o bien un numero normalmente mayor a 70000000
le das formato long adress, luego tendras mas ordenadito


ahora siendo mas explicito, luego de aquel direccion se ve el inicio..subiendo mas o menos
esta en los escritos, cuando tienes que enCONTRAR y entender la iat a MANO..
normalmente seria algo asi

402000 7777756......
402004 7777757......
402008 00000000000

en un caso hipotetico, la iat comenzaria en 402000, y terminaria en 402008, por ende deberia tener un tamaño de 8 y el RVA hay que probar si ya es 402000 o simplemente 2000, no recuerdo si se le configuraba en import rec o en otra tool (no tengo ni el depurador, ni nada a mano, estoy comentandote al aire la idea)

revisa bien los escritos sugeridos, y echale un look,
no creo que sea dificil si sigues leyendo, pero antes de desempacar aspack
hace el intento con un upx, que es el primer unpack que todos o casi todos suelen explicar paso por paso..

ahora bien pensemos que es un dumped?, es como un programa que copiaste de la memoria en una direccion especifica, que no tiene alineado su tabla de iat, o bien su entrypoint, luego de asignar el oep, o entrypoin, busca las direcciones virtuales a modo de reservar las apis, que estan en la sección de la iat, establecida en la sección de recursos y luego buscar si existe esa dll y esa api

saludos ...vuelvo a casa a ver si pillo algun depurador y un ejemplo simple para comprimir con aspack

saludos Apuromafo