Saludos programadores mis respetos a todos ustedes que dedican tiempo a estos tipos de trabajos.
soy un novato en ingieneria inversa se que puedo aprender con el tiempo pero ahora tengo un problema con un archivo que es de importancia para un proyecto que quiero realizar
y no tengo el conocimiento necesario para poder hacerlo yo mismo y tengo un tiempo limite para poder terminarlo por eso recurro a ustedes sin animo de molestarlos.
se que su tiempo y conocimiento es valioso y se que podemos llegar a un acuerdo $ justo
si alguien le interesa ayudarme aqui les dejo el archivo .exe y si puede hacerlo que me envie un msj a mi correo NOSPAM
http://www.mediafire.com/download/ny6wldkhc9nty8i/Client.exe
por favor se que no es la gran cosa pero para mi es dificil muchas gracias por su tiempo :-(
el archivo que subiste le falta ijl15.dll
por otro lado si sabes que es aspack, sabias que existen unpackers genericos de aspack?
por otro lado aún mejor, sabes que hay tutoriales de como desempacar aspack?
bueno, si el tema es urgente, lo mas basico es saber que este no es un area para pedidos de requesting...
Saludos Apuromafo
pd:no es bueno dejar correos, suelo inscribir usuarios a listas de spam
pd2: aqui hay una guia para aprender https://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo_aprende_ingenieria_inversa_desde_cero-t345798.0.html
gracias por tu respuesta el archivo q dice que falta es por q es un ejecutable q solo es necesario cuando se tiene completo la carpeta del cliente pero mi pedido es solo unpacker cliente.exe o mejor dicho quitar la proteccion aspack para poder editarlo libremente con un editor hexadecimal.
la dll se necesita porque lo pide el exe, como bien sabes todo exe necesita tener sus dll para ejecutar o ver algo
yo lo baje de :
http://es.dll-files.com/ijl15.dll.html
para desempacar estamos en el entrypoint
0336A001 | 60 | pushad | entrypoint
0336A002 | E8 03 00 00 00 | call client.336A00A |
0336A007 | E9 EB 04 5D 45 | jmp 4893A4F7 |
0336A00C | 55 | push ebp |
0336A00D | C3 | ret |
al finalizar la rutina sabemos que termina con popad (pushad guarda registro, popad restaura)
0336A3AF 61 POPAD
0336A3B0 75 08 JNZ SHORT Client.0336A3BA
0336A3B2 B8 01000000 MOV EAX,1
0336A3B7 C2 0C00 RETN 0C
0336A3BA 68 00000000 PUSH 0
0336A3BF C3 RETN
al ejecutar en ejecución en el salto vemos ahora que cambió
0336A3B0 75 08 JNZ SHORT Client.0336A3BA
0336A3B2 B8 01000000 MOV EAX,1
0336A3B7 C2 0C00 RETN 0C
0336A3BA 68 0F676F00 PUSH Client.006F670F
0336A3BF C3 RETN
al ir push+ret =JUMP to place
tenemos el OEP (original entrypoint)
y por lo cual aqui puedes dumpear y reparar como corresponde.
006F670F 6A 58 PUSH 58
006F6711 68 48FD7C00 PUSH Client.007CFD48
006F6716 E8 09460000 CALL Client.006FAD24
006F671B 33F6 XOR ESI,ESI
006F671D 8975 FC MOV DWORD PTR SS:[EBP-4],ESI
006F6720 8D45 98 LEA EAX,DWORD PTR SS:[EBP-68]
006F6723 50 PUSH EAX
006F6724 FF15 48137500 CALL DWORD PTR DS:[751348] ; kernel32.GetStartupInfoA
006F672A 6A FE PUSH -2
006F672C 5F POP EDI
006F672D 897D FC MOV DWORD PTR SS:[EBP-4],EDI
006F6730 B8 4D5A0000 MOV EAX,5A4D
006F6735 66:3905 00004000 CMP WORD PTR DS:[400000],AX
006F673C 75 38 JNZ SHORT Client.006F6776
solo debes rellenar los datos de la iat como corresponde y tendrás tu archivo desempacado, para hacer eso deberás leer el faq
ok gracias por la aclaracion sobre la dll relamente parece complicado todo eso pero a la vez emocionante lo intentare con ollydbg seguro fracasare las 100 primeras veces solo te quisiera preguntar tu q sabes mas q yo cuanto en tiempo lo harias ? quitar la proteccion aspack gracias quiero inspirame master
ya está desempacada en este pc , tarda 10 segundos?
una persona sin conocimientos de reversing, leyendo las teorias de ricardonarvaja en menos de 1 dia debería poder desempacar algo...
siempre y cuando quiera realmente intentarlo
bueno yo entendí las rutinas luego de una semana, con el tiempo al mes podia desempacar cosas sin antidebugger, al año podia desempacar con antidebug, con los años, creo que te das cuenta que son millones de fracasos, pero nadie te engaña ya que cosa es o no packer, virus, ofuscacion etc
el real problema es que el programa que se ha desempacado solo es un loader de un programa compreso con MOLEBOX, osea tendrás además que liarte con ese programa..