Desempacando un ASPack v2.12, dudilla ?

Iniciado por TrashAmbishion, 30 Julio 2013, 21:44 PM

0 Miembros y 2 Visitantes están viendo este tema.

TrashAmbishion

Amigos cuando paso la App por el RDG me lanza una ventanita que dice External Scan (Using DLL) y en ella me dice Possible: ASProtect (Deteccion Huristica)

Bueno aqui les pongo despues de poner el BP Hardware y dar F9 hacia donde me salta a ver si me pueden ubicar porque no se ve el tipico escenario ustedes me diran



Cuando lo cargo en el Olly y paso las 3 primeras lineas que si no me equivoco llama a una DLL cae entonces en la rutina tipica del ASPack del 60 y mi duda es si las 3 lineas anteriores pueden cambiar mi trabajo final al tratar de desempacarlo y bueno hacerle el cracking.... Salu2

apuromafo CLS

aspack y asprotect son de la misma compañia, por ende pueden usar los mismos procedimientos, pro otro lado hay aspack comienza con pushad, termina con popad y un salto al oep, asprotect no, trabaja con una dll interna y puede como no puede trabajar con aspack
ejemplo:
http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1172-Desempacando%20al%20protegido%20de%20aspack%201.1.pdf.7z

aqui creía fielmente aquella vez que era primeramente aspack y termino siendo asprotect, una version muy básica pero lo era

si no has leido el faq, pasa por ahi(a primera vista eso no es el oep)
sigue leyendo de aspack y de asprotect buscando esas palabras claves en :
http://www.ricardonarvaja.info/WEB/buscador.php


lo que hace and addd sub es ir agregando y restando valores(de paso con ello ayudando para encontrar alguna tabla del exe o dll cercana a los valores que vea


si fuera por motivar que no aprendas, existen unpackers para aspack y asprotect, pero el cracking siempre es algo adicional, luego del desempacado ^^
saludos Apuromafo

TrashAmbishion

Pero yo supongo que si dice ASPack es con ese con el que esta protegido...

Ese archivo que me distes es el tipo ASPack y es el problema que tengo, cuando paso las 3 primeras lineas llego al 60 paso el PUSHAD con F7 sigo el ESP en el DUMP, pongo el Hardware BreakPoint y cuando doy en F9 cae en esa sección y hay me trabo...

Hay algo inusual con el OLLYDBG yo tengo una version limpia sin Plugins ni nada cuando hago todo esto caigo en la sección que puse mas arriba (en la foto), ahora baje una version del OllyDBG de Phantom y no se detiene alli, cuando doy F9 me carga la aplicacion como si nada...

Que version me recomiendan que sea estable...

Salu2

MCKSys Argentina

Olly 1.10 con el plugin StrongOD.

Es casi idetectable...  ;)

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


TrashAmbishion

Cita de: MCKSys Argentina en  1 Agosto 2013, 21:03 PM
Olly 1.10 con el plugin StrongOD.

Es casi idetectable...  ;)

Saludos!

No es a lo que me refiero, el problema esta en que no se detiene igual en el Hardaware BP...

MCKSys Argentina

No se detiene porque esta detectando los HBP...

Prueba con StrongOD...
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


TrashAmbishion

#6
Descargue una aplicacion que parece ser un Unpacker FUU (Faster Universal Unpacker) y cuando trate de desempacar me dice que no parece estar empacado con el Aspack, entonces le pase un detector que el trae consigo y me dice que el que ve es el Aspack v1.2 me quede frito, frito, uff ahora me dio por verificar en el RDG Packer y cuando lo pongo alli me dice en la opcion M-A lo mismo que en el FUU Asprotect v1.2x (New Strain), pero cuando lo hago con la otra opcion M-B me dice Aspack v2.2, lamento la confusion vere sobre el Asproect que tal...


Salu2 y disculpen nuevamente

PD> No se pq la primera ves que lo pase el programa no me detecto eso....


TrashAmbishion

Amigos necesito el Memory Dumper que funcione en el XP estoy parado en el volcado de memoria...

Salu2 y gracias de antemano

apuromafo CLS

puedes dumpear hasta con import rec , lord pe o bien ollydump desde ollydbg, no es nada complicado, deberás seguir leyendo ;)

Saludos Apuromafo