tengon una .dll empaquetada con ASPack v2.12, buscando como desempaquetar la dll m encontre con varios tutos para desempaquetar la .dll y llegue hasta aca luego de un monton d problemas
(http://img407.imageshack.us/img407/3780/68834459rk6.th.jpg) (http://img407.imageshack.us/my.php?image=68834459rk6.jpg)
7C90E8AB supuestamente es mi OEP segun los tutoriales
7C90E8B6 y 7C90E8BF son los OEP segun uno de los scripts
y ahi me pierdo xD
seguia este tutorial
http://ax3l.blogspot.com/2008/01/reversing-tutoriale-de-manual-unpacking.html
http://korupt.wordpress.com/2008/05/18/unpacking-aspack-212/
en ambos tutoriales llega a una zona completamente diferente si sigo al pie de la letra el tutoria -.-, y los scripts me llevan a cerka de donde yo llego D:
EDIT: ah se me olvidaba, en el proceso llegue a esto:
(http://img87.imageshack.us/img87/1314/asdhc8.th.jpg) (http://img87.imageshack.us/my.php?image=asdhc8.jpg)(http://img87.imageshack.us/images/thpix.gif) (http://g.imageshack.us/thpix.php)
pk sale eso? ._., seguro tiene k ver con lo k toy haciendo mal
Para que quieres unpacketear la XTrapVa? si no me equivoco ese es el modulo de actualizacion del XTrap XD si lo que buscas es saltartelo modificando sus archivos vas a conseguir poco.
PD: Creo que el XTrap viene protegido con el ASProtect SKE
ps ya ves xD, estoy d ocioso y abro cualkier cosa que me encuentro con el olli pa ver, en todo caso el PEiD me lo detecto como "ASPack 2.12 -> Alexey Solodovnikov [Overlay]"
como dicen x ahi, hechando a perder se aprende :D, esa pantalla del "Debugger detected" pk sale?
Porque te detecto el debuguer...
Escondelo con el plugin ollyAdvanced y tilda la opcion de IsdebugPresent..
ò al iniciar oly anda al dump en ebx+2 y cambia el byte...
Saludos...
Fijate bien que estas en la NTDLL.DLL y no en la dll del programa. ese no es el OEP
Solid.
Cita de: tena en 26 Septiembre 2008, 00:00 AM
Porque te detecto el debuguer...
Escondelo con el plugin ollyAdvanced y tilda la opcion de IsdebugPresent..
ò al iniciar oly anda al dump en ebx+2 y cambia el byte...
Saludos...
probe con el "Isdebugpresent" y no anda, me sigue detectando al debugger, tmb probe con un script que me encontre leyendo, hide debugger y otro de invisible debugger, y dejo de detectar al debugger
ahora el problem es k dps d darle run se detiene en ese jump y luego no hay nada...
(http://img521.imageshack.us/img521/3085/asdasdyg9.th.jpg) (http://img521.imageshack.us/my.php?image=asdasdyg9.jpg)(http://img521.imageshack.us/images/thpix.gif) (http://g.imageshack.us/thpix.php)
si que hay !! es un JMP EAX, si miras el valor de EAX es : 4042b019, y, segun se ve en el registro, la direccion corresponde al modulo XtrapVa. tenes que mirar con detalle ;)
saludos