Desempacar un archivo .exe protegido por ASPack v2.12 URGENTE!!!!

Iniciado por aqpvip, 19 Enero 2016, 21:41 PM

0 Miembros y 1 Visitante están viendo este tema.

aqpvip

Saludos programadores mis respetos a todos ustedes que dedican tiempo a estos tipos de trabajos.
soy un novato en ingieneria inversa se que puedo aprender con el tiempo pero ahora tengo un problema con un archivo que es de importancia para un proyecto que quiero realizar
y no tengo el conocimiento necesario para poder hacerlo yo mismo y tengo un tiempo limite para poder terminarlo por eso recurro a ustedes sin animo de molestarlos.
se que su tiempo y conocimiento es valioso y se que podemos llegar a un acuerdo $ justo
si alguien le interesa ayudarme aqui les dejo el archivo .exe y si puede hacerlo que me envie un msj a mi correo NOSPAM
http://www.mediafire.com/download/ny6wldkhc9nty8i/Client.exe
por favor se que no es la gran cosa pero para mi es dificil muchas gracias por su tiempo  :-(

apuromafo CLS

el archivo que subiste le falta ijl15.dll
por otro lado si sabes que es aspack, sabias que existen unpackers genericos de aspack?

por otro lado aún mejor, sabes que hay tutoriales de como desempacar aspack?

bueno, si el tema es urgente, lo mas basico es saber que este no es un area para pedidos de requesting...

Saludos Apuromafo

pd:no es bueno dejar correos, suelo inscribir usuarios a listas de spam
pd2: aqui hay una guia para aprender https://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo_aprende_ingenieria_inversa_desde_cero-t345798.0.html

aqpvip

gracias por tu respuesta el archivo q dice que falta es por q es un ejecutable q solo es necesario cuando se tiene completo la carpeta del cliente pero mi pedido es solo unpacker cliente.exe o mejor dicho quitar la proteccion aspack para poder editarlo libremente con un editor hexadecimal.

apuromafo CLS

#3
la dll se necesita porque lo pide el exe, como bien sabes todo exe necesita tener sus dll para ejecutar o ver algo
yo lo baje de :
http://es.dll-files.com/ijl15.dll.html
para desempacar estamos en el entrypoint
0336A001 | 60                       | pushad                                  |  entrypoint
0336A002 | E8 03 00 00 00           | call client.336A00A                     |
0336A007 | E9 EB 04 5D 45           | jmp 4893A4F7                            |
0336A00C | 55                       | push ebp                                |
0336A00D | C3                       | ret                                     |

al finalizar la rutina sabemos que termina con popad (pushad guarda registro, popad restaura)
0336A3AF   61               POPAD
0336A3B0   75 08            JNZ SHORT Client.0336A3BA
0336A3B2   B8 01000000      MOV EAX,1
0336A3B7   C2 0C00          RETN 0C
0336A3BA   68 00000000      PUSH 0
0336A3BF   C3               RETN

al ejecutar en ejecución en el salto vemos ahora que cambió
0336A3B0   75 08            JNZ SHORT Client.0336A3BA
0336A3B2   B8 01000000      MOV EAX,1
0336A3B7   C2 0C00          RETN 0C
0336A3BA   68 0F676F00      PUSH Client.006F670F
0336A3BF   C3               RETN

al ir push+ret =JUMP to place
tenemos el OEP (original entrypoint)
y por lo cual aqui puedes dumpear y reparar como corresponde.
006F670F   6A 58            PUSH 58
006F6711   68 48FD7C00      PUSH Client.007CFD48
006F6716   E8 09460000      CALL Client.006FAD24
006F671B   33F6             XOR ESI,ESI
006F671D   8975 FC          MOV DWORD PTR SS:[EBP-4],ESI
006F6720   8D45 98          LEA EAX,DWORD PTR SS:[EBP-68]
006F6723   50               PUSH EAX
006F6724   FF15 48137500    CALL DWORD PTR DS:[751348]               ; kernel32.GetStartupInfoA
006F672A   6A FE            PUSH -2
006F672C   5F               POP EDI
006F672D   897D FC          MOV DWORD PTR SS:[EBP-4],EDI
006F6730   B8 4D5A0000      MOV EAX,5A4D
006F6735   66:3905 00004000 CMP WORD PTR DS:[400000],AX
006F673C   75 38            JNZ SHORT Client.006F6776


solo debes rellenar los datos de la iat como corresponde y tendrás tu archivo desempacado, para hacer eso deberás leer el faq

aqpvip

ok gracias por la aclaracion sobre la dll relamente parece complicado todo eso pero a la vez emocionante lo intentare con ollydbg seguro fracasare las 100 primeras veces solo te quisiera preguntar tu q sabes mas q  yo cuanto en tiempo lo harias ? quitar la proteccion aspack gracias quiero inspirame master

apuromafo CLS

#5
ya está desempacada en este pc , tarda 10 segundos?
una persona sin conocimientos de reversing, leyendo las teorias de ricardonarvaja en menos de 1 dia debería poder desempacar algo...
siempre y cuando quiera realmente intentarlo

bueno yo entendí las rutinas luego de una semana, con el tiempo al mes podia desempacar cosas sin antidebugger, al año podia desempacar con antidebug, con los años, creo que te das cuenta que son millones de fracasos, pero nadie te engaña ya que cosa es o no packer, virus, ofuscacion etc

el real problema es que el programa que se ha desempacado solo es un loader de un programa compreso con MOLEBOX, osea tendrás además que liarte con ese programa..