Desempacar PECompact 1.68-1.84 de una DLL

Iniciado por fperea, 15 Noviembre 2010, 09:42 AM

0 Miembros y 2 Visitantes están viendo este tema.

tena

Al parecer el culpable es el programa y no la dll,
ya que justo antes de llegar al EP de la libreria me crea una sección de tamaño 4000
justo donde deberia ponerse la dll, y eso causa que despues la dll crashea.

Si abro la dll de MckSys en el ollydbg, y le doy run veremos que se carga perfectamente.



Aqui vemos donde crashea cargandola desde el programa.



si el programa la hubiera colocado en 010A0000 pues esa direccion estaria
dentro del exe.

MCKSys Argentina

El problema es la ImageBase. Al momento de dumpear, la ImageBase que tenga la DLL es la que hay que poner en el PE Header.

Con eso deberia bastar, a menos que se cargue en otra direccion, con lo que nos jode la vida.

Para arreglar eso, ya hay que meterse con la Relocation Table. Hacer un script que levante todas las referencias a la sección data/code (excepto jumps) y meterlas en el directorio de Relocacion...

Es la otra alternativa que veo...  :P
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


tena

#32
Bueno al final parche a la dll empacada.

aver si funciona en otra pcra.

después haré un tute para mostrar los pasos que realice.

Modificado: Borre el link a la dll

tratare de hacer un tutorial estos dias.

slds

fperea

Hey!!!

Esta si funciona bien!! Gracias! Pero me quedo con muchas dudas. Corriendo en Olly EvalAs con Olly configurado para omitir Excepciones y con un BRK en nuevas DLL
tengo que la Imagebase es 11110000. Esta es la imagen que se debería poner en LordPE?
Espero el tute para repetir el proceso localmente!!!!

Muchas gracias

tena

La podes ver en el memory map, en el modulo que se esta ejecutando. LordPe e ImporteRec tambien te la muestran.


fperea

Tena,

Estuve probando la aplicación. Existen dos tipos de licencias: Una estándard y la otra MonteCarlo. La última permite realziar simulaciones de MonteCarlo para probar variaciones de valores. Esa licencia no está activa. Habría que revisar...
La DLL que permite registrar está empacada con PECompact otra vez. Es necesario Reempacarla? No se puede usar desempacada?
Tal vez el error 48 se deba a que no está empacada la DLL y la aplicación solo funcione con la DLL empacada. Esas son las diferencias entre las anteriores DLL y esta nueva que si funciona. Voy a revisar y les cuento...

Gracias

fperea

Ahhh!

Le cambié el nombre al tema: Se llama ahora Desempacar PECompact 1.68-1.84 de una DLL y edité algunos post que contenían información que no es relevante publicar... :)

tena

Cita de: fperea en 19 Noviembre 2010, 20:14 PM
Tena,

Estuve probando la aplicación. Existen dos tipos de licencias: Una estándard y la otra MonteCarlo. La última permite realziar simulaciones de MonteCarlo para probar variaciones de valores. Esa licencia no está activa. Habría que revisar...
La DLL que permite registrar está empacada con PECompact otra vez. Es necesario Reempacarla? No se puede usar desempacada?
Tal vez el error 48 se deba a que no está empacada la DLL y la aplicación solo funcione con la DLL empacada. Esas son las diferencias entre las anteriores DLL y esta nueva que si funciona. Voy a revisar y les cuento...

Gracias

A esa no la desempaque, solo le parche la comparacion donde comprobaba la integridad del archivo, y la redirigi a una zona vacia, y ahi meti un injerto que parchase donde sea necesario, ya que en ese punto la dll ya esta desempacada completamente en memoria.


henryxs87

#39
Cita de: tena en 20 Noviembre 2010, 01:40 AM
Bueno dejo el tute del registro..

http://www.mediafire.com/?a8l1aqaxauffixh

slds
Aunque no estoy interesado para nada en el programa de  fperea, resulta interesante la metodología que usaste para desempacar esa DLL
Y lo de diseñar una medicina para el programa me sirve de cultura general
Cita de: fperea en 19 Noviembre 2010, 20:16 PM
Ahhh!

Le cambié el nombre al tema: Se llama ahora Desempacar PECompact 1.68-1.84 de una DLL y edité algunos post que contenían información que no es relevante publicar... :)
Fprea no creo que haya sido bueno borrar el enlace para descargar el programa, porque el tutorial esta basado en el Ev4ls.1_3

Si quieres sube el programa a mediafire o megaupload con otro nombre si es eso lo que te preocupa y todo eso para que el tute sea completo

Editado: aqui esta todo el material del post PDF, DLL, Setup.EXE http://www.mediafire.com/?q0cx45xud5ztxa4 junto con el programa
Aqui esta el programa Topo v1.2 http://www.4shared.com/file/72263364/4fecbcc6/Topo_12.html

Gracias a MCKSys y especial a tena por la especial dedicación al tema, aunque la ayuda no sea para mi

Saludos!!!