Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Programación => Ingeniería Inversa => Mensaje iniciado por: NewCracking en 25 Febrero 2013, 23:18 PM

Título: Desempaquetar archivo
Publicado por: NewCracking en 25 Febrero 2013, 23:18 PM
Hola, estuve intentando desempaquetar un exe MEW 11 SE 1.2 pero el muy jodido no se deja, intente e intente, seguramente por algun error mio, sin embargo busque alguna guia y encontre estas 2 links para orientarme:

http://skilinium.com/blog/downloads/UnpackingMEW11SE1.2/UnpackingMEW11SE1.2.html (http://skilinium.com/blog/downloads/UnpackingMEW11SE1.2/UnpackingMEW11SE1.2.html)
http://foro.elhacker.net/ingenieria_inversa/tutorialcrack_me_02_by_red_mxsimple_packer_mew_12-t337864.0.html (http://foro.elhacker.net/ingenieria_inversa/tutorialcrack_me_02_by_red_mxsimple_packer_mew_12-t337864.0.html)

No soy un experto en el tema, sin embargo estuve un buen rato pero lamentablemente no tengo mucho tiempo. Por eso quise acudir a  algun experto con un poco de tiempo para que me lo resuelva.

Yo ya lo intente y no lo logre, hace 2 horas que estoy y esto no lleva mas que unos minutos y lamentablemente se me acaba el tiempo.

Si alguien es tan amable y tiene un poquito de tiempo, le agradeceria que me lo resuelva. :)

Tipo de empaquetado:  MEW 11 SE 1.2
El archivo es un launcher de un juego, necesito desempaquetarlo para mi propio uso.
Por lo que puede saltar alertas en sus anti virus, sin embargo dejo un scan:

Antivirus    Resultado    Actualización
Agnitum    Packed/MEW    20130225
AhnLab-V3    -    20130225
AntiVir    -    20130225
Antiy-AVL    -    20130225
Avast    -    20130225
AVG    Suspicion: unknown virus    20130225
BitDefender    -    20130225
ByteHero    -    20130221
CAT-QuickHeal    -    20130225
ClamAV    -    20130225
Commtouch    W32/Heuristic-210!Eldorado    20130225
Comodo    -    20130225
DrWeb    -    20130225
Emsisoft    -    20130225
eSafe    Win32.Stration    20130211
ESET-NOD32    -    20130225
F-Prot    W32/Heuristic-210!Eldorado    20130225
F-Secure    -    20130225
Fortinet    -    20130225
GData    -    20130225
Ikarus    IM-Worm.Win32.Sumom    20130225
Jiangmin    -    20130225
K7AntiVirus    -    20130225
Kaspersky    -    20130225
Kingsoft    VIRUS_UNKNOWN    20130225
Malwarebytes    -    20130225
McAfee    -    20130225
McAfee-GW-Edition    -    20130225
Microsoft    -    20130225
MicroWorld-eScan    -    20130225
NANO-Antivirus    -    20130225
Norman    Suspicious_M.gen    20130225
nProtect    -    20130225
Panda    Suspicious file    20130225
PCTools    -    20130225
Rising    -    20130225
Sophos    Mal/EncPk-BA    20130225
SUPERAntiSpyware    -    20130225
Symantec    -    20130225
TheHacker    -    20130224
TotalDefense    -    20130225
TrendMicro    Cryp_MEW-11    20130225
TrendMicro-HouseCall    Cryp_MEW-11    20130225
VBA32    -    20130225
VIPRE    -    20130225
ViRobot    -    20130225

RAR: http://www.mediafire.com/?63b1n3ob0aasrur
EXE: http://www.mediafire.com/?9lerpubbbwyaw3u
Aver si algun viejo lobo de mar me resuelve el problema  :xD
Título: Re: Desempaquetar archivo
Publicado por: tincopasan en 26 Febrero 2013, 02:32 AM
por lo que pude ver el oep está en 5BE1D4 push 60 pone un he en esa dirección y despues con el import recupera la iat y dumpealo. Este packer no rompe la iat.
no lo hago porque falta algo ya que en mi pc no corre.
Título: Re: Desempaquetar archivo
Publicado por: apuromafo CLS en 26 Febrero 2013, 02:59 AM
entrypoint:
CPU Disasm
Address   Hex dump          Command                                  Comments
02364B58    ^ E9 F7B509FE   JMP 00400154


luego vemos: una rutina de descompresion 
00400154      BE 1CE02402   MOV ESI,0224E01C
00400159      8BDE          MOV EBX,ESI
0040015B      AD            LODS DWORD PTR DS:[ESI]
0040015C      AD            LODS DWORD PTR DS:[ESI]
0040015D      50            PUSH EAX

si haces un leve scroll
CPU Disasm
Address   Hex dump          Command                                  Comments
004001F5      FF53 F4       CALL DWORD PTR DS:[EBX-0C]
004001F8      AB            STOS DWORD PTR ES:[EDI]
004001F9      85C0          TEST EAX,EAX
004001FB    ^ 75 E5         JNE SHORT 004001E2
004001FD      C3            RETN
004001FE      0000          ADD BYTE PTR DS:[EAX],AL
00400200      0000          ADD BYTE PTR DS:[EAX],AL
00400202      0000          ADD BYTE PTR DS:[EAX],AL
00400204      0000          ADD BYTE PTR DS:[EAX],AL
00400206      0000          ADD BYTE PTR DS:[EAX],AL

veras que el ultimo comando es un retn, si colocas bp en ejecucion,luego F9 para correr, luego al pulsar f7 llegas al oep


OEP(original entrypoint)
CPU Disasm
Address   Hex dump          Command                                  Comments
005BE1D4      6A 60         PUSH 60
005BE1D6      68 D0376C00   PUSH 006C37D0
005BE1DB      E8 E02E0000   CALL 005C10C0
005BE1E0      BF 94000000   MOV EDI,94

por lo cual queda confirmado el oep dado por tincopasan

respecto a la descompresion, me parece mucho que esto que vemos es como un stub de algun juego o algo no puedo seguir mucho
CPU Disasm
Address   Hex dump          Command                                  Comments
005BE1F4      FF15 EC926A00 CALL DWORD PTR DS:[6A92EC]

este call indica un lugar que no procesa bien

pero el hecho es claro..basta que tengas bien tu oep  y sepas restar la imagebase o bien copiar el rva

saludos Cordiales Apuromafo
Sólo texto | Texto con Imágenes