Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Programación => Ingeniería Inversa => Mensaje iniciado por: metropiezo en 27 Enero 2011, 23:01 PM

Título: ayuda reparar iat
Publicado por: metropiezo en 27 Enero 2011, 23:01 PM
Estoy descomprimiendo un "facil" UPX , la rutina normal de este suele ser,que despues del popad, está el salto directo al OEP.
Pero en mi UPX antes del salto hay esto

(http://img402.imageshack.us/img402/4125/capturaxk.jpg) (http://img402.imageshack.us/i/capturaxk.jpg/)

(http://img12.imageshack.us/img12/4299/captura2yi.jpg) (http://img12.imageshack.us/i/captura2yi.jpg/)

como se puede ver el JMP 401644 me lleva al oep, pero si dumpeo y reparo la iat desde 401644 se abre el programa correctamente,pero me avisa de que los controladores no se han cargado, por lo que creo que la carga de controladores (encargado de las unidades virtuales) lo hace en esa parte.

Algun pro que me pueda ayudar con esto?

Título: Re: ayuda reparar iat
Publicado por: MCKSys Argentina en 28 Enero 2011, 01:51 AM
Hola!

Esa parte es normal. Para desempacar el UPX, debes estar parado en el OEP. Luego fixear la IAT con ImpRec.

Si tienes problemas, usa PEExplorer para desempacar (http://www.heaventools.com/download-pe-explorer.htm) y listo.

Saludos!
Título: Re: ayuda reparar iat
Publicado por: metropiezo en 30 Enero 2011, 18:20 PM
una gran herramienta el peexplorer, lo descomprime perfectamente, incluso me da un exe mas pequeño que el que he echo yo a mano.

Pero me sigue dando el mismo fallo en la carga de controladores.
Título: Re: ayuda reparar iat
Publicado por: Иōҳ en 2 Febrero 2011, 16:58 PM
como dice MCKSys Argentina usa el ImpRec, para fixear la IAT, te digo que en los tutos de ricardo iniciando cracking desde 0 con el olly dbg en el tute 30 o 31 en adelante habla sobre el UPX y como usar el ImpRec para fixear la IAT.

Salu2!
Título: Re: ayuda reparar iat
Publicado por: metropiezo en 9 Febrero 2011, 20:42 PM
Gracias por vuestra ayuda.

El problema es que tiene algun tipo de proteccion adiccional que detecta los cambios.

Lo he conseguido pero por medio de un injerto, porque desempacandolo no he podido con el.

(He de reconocer que eso de injertar es mucho mas divertido jeje)

Título: Re: ayuda reparar iat
Publicado por: apuromafo CLS en 11 Febrero 2011, 05:52 AM
igual seria interesante leer algun tutorial con imagenes o algun archivo del proceso completo..podria ser util para alguien mas.. :rolleyes:

saludos Apuromafo
Título: Re: ayuda reparar iat
Publicado por: metropiezo en 13 Febrero 2011, 12:02 PM
ok me currare uno tute sencillo, pero no quiero que nadie se ria eh??? ;D
Título: Re: ayuda reparar iat
Publicado por: apuromafo CLS en 14 Febrero 2011, 19:13 PM
si te da verguenza, enviamelo a mi privado, y te comentare, entre mejor aprendas a desarrollar , mejor despues seran tus hazañas.
yo confio que cualquier primer escrito siempre es abierto a muchas sugerencias.

saludos
Apuromafo
pd:ultimamente estoy escribiendo algo, al terminar lo compartire

Sólo texto | Texto con Imágenes