Desempacar PECompact 1.68-1.84 de una DLL

[tena]

te pones encima del salto y ahí haces
clic derecho del mouse y le das a
follow in dump, y elegís Memory Addres.

El ESP solo lo usas cuando buscas el oep por el metodo del pushad/popad,
que consiste en pasar el pushad, y luego haces follow al registro ESP,
y te lo visualiza en la ventana del dump, ahi le pones un HBP de acceso al dword,
y das run, deberia caer justo despues del popad.

slds

[fperea]

La aplicacion sigue dando error '48' en tiempo de ejecución: no se ha encontrado el archivo OneWay
Con el archivo dll desempacado funciona?
Otra cosa, que versión de OllyDbg estás usando? Intenté con la 2.0 pero al parecer tiene problemas al cargar DLL's...

[fperea]

Tena,

Como obtuviste la imagen base 3A0000? Yo tengo 300000
Revisando cuidadosamente el problema creo que esta en la API. En OllyDbg al realizar la busqueda de las API's solo aparecen unas pocas call de OneWay.

[tena]

Tena,

Como obtuviste la imagen base 3A0000? Yo tengo 300000
Revisando cuidadosamente el problema creo que esta en la API. En OllyDbg al realizar la busqueda de las API's solo aparecen unas pocas call de OneWay.

Es la imagen base que me dio cuando cargue la dll directamente en el olly.



Pero si cargo el progui en el olly obtengo otra imagen base de la dll



Restando el oep . la imagen base da el mismo resultado, asi que no hay problem.

Aqui te dejo una imagen del programa corriendo con la dll desempacada

[tena]

La aplicacion sigue dando error '48' en tiempo de ejecución: no se ha encontrado el archivo OneWay
Con el archivo dll desempacado funciona?
Otra cosa, que versión de OllyDbg estás usando? Intenté con la 2.0 pero al parecer tiene problemas al cargar DLL's...

Si funciona... tenes que meterlo en la carpeta del programa.
A lo mejor este mal renombrado, tenes que ponerle el nombre original de la dll, lo abris con LordPE te vas a expor table y ahi sale el nombre.

Otra pues ya no se ¿la dll empacada te funciona?

[tena]

Tena,

Como obtuviste la imagen base 3A0000? Yo tengo 300000
Revisando cuidadosamente el problema creo que esta en la API. En OllyDbg al realizar la busqueda de las API's solo aparecen unas pocas call de OneWay.

Llegas al oep y te fijas en el memory map cual es..

[MCKSys Argentina]

De todas formas, parece que la proteccion es mas que PECompact.

Tena, probaste hacerle click sobre Registrese con la desempacada? Mira que la DLL la carga solamente cuando la usa, no antes...

@fperea: El programa es un VB 6 sin empacar, con lo que puedes parchearlo comodamente y luego hacer un patcher con dup2, o lo que mas te guste. No es necesario parchear la DLL... 

Saludos!

[tena]

Si ya lo probe y si funciona, adentro y fuera del ollydbg con el ollyadvanced.

Ahora probe monitorearlo con TracePlus, y ahi si me salta el error 48 que no encuentra la dll ¿?

Voy a mirar de porque  sale ese error cuando lo monitoreo.

Pero afuera si funciona bien.

slds

[MCKSys Argentina]

OK. De todas formas ya la tengo dumped y funcionando perfectamente (tuve que corregirle la ImageBase para que no joda)

Lastima que IDR no la levante, pero IDA la analiza igual.

Creo que lo mejor es parchear el EXE. Por lo que estuve mirando, es medio jodido sacarle un keygen (por el Rijndael).

Pero bueno.. nada es imposible 

Saludos!

[fperea]

@fperea: El programa es un VB 6 sin empacar, con lo que puedes parchearlo comodamente y luego hacer un patcher con dup2, o lo que mas te guste. No es necesario parchear la DLL...  

Saludos!

Yo creo que lo interesante es cambiar la DLL. Ese software de protección lo utilizan muchos programas. Ya había como en el 2000 o 2004 una version de esta dll que tenía un parche:
hxxp://cracksguru.com/data/Funcrd_Card_Games_v3.00_crack_by_ELiMiNATION-bee021aae6.html
Ese crack parchaba la DLL. Lo probé pero, obviamente no funciona.
Aunque para mi por ahora parchar el programa sería la solución...