desempaquetar .dll

Iniciado por cazanova, 25 Septiembre 2008, 07:32 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

cazanova

25 Septiembre 2008, 07:32 AM Ultima modificación: 25 Septiembre 2008, 07:39 AM por cazanova
tengon una .dll empaquetada con ASPack v2.12, buscando como desempaquetar la dll m encontre con varios tutos para desempaquetar la .dll y llegue hasta aca luego de un monton d problemas



7C90E8AB supuestamente es mi OEP segun los tutoriales
7C90E8B6 y 7C90E8BF son los OEP segun uno de los scripts

y ahi me pierdo xD
seguia este tutorial
http://ax3l.blogspot.com/2008/01/reversing-tutoriale-de-manual-unpacking.html
http://korupt.wordpress.com/2008/05/18/unpacking-aspack-212/

en ambos tutoriales llega a una zona completamente diferente si sigo al pie de la letra el tutoria -.-, y los scripts me llevan a cerka de donde yo llego D:

EDIT: ah se me olvidaba, en el proceso llegue a esto:


pk sale eso? ._., seguro tiene k ver con lo k toy haciendo mal

Lambda

#1
25 Septiembre 2008, 13:01 PM
Para que quieres unpacketear la XTrapVa? si no me equivoco ese es el modulo de actualizacion del XTrap XD si lo que buscas es saltartelo modificando sus archivos vas a conseguir poco.

PD: Creo que el XTrap viene protegido con el ASProtect SKE

cazanova

#2
25 Septiembre 2008, 21:56 PM
ps ya ves xD, estoy d ocioso y abro cualkier cosa que me encuentro con el olli pa ver, en todo caso el PEiD me lo detecto como "ASPack 2.12 -> Alexey Solodovnikov [Overlay]"

como dicen x ahi, hechando a perder se aprende :D, esa pantalla del "Debugger detected" pk sale?

tena

#3
26 Septiembre 2008, 00:00 AM
Porque te detecto el debuguer...

Escondelo con el plugin ollyAdvanced y tilda la opcion de IsdebugPresent..
ò al iniciar oly anda al dump en ebx+2 y cambia el byte...

Saludos...

solidcls

#4
26 Septiembre 2008, 04:26 AM
Fijate bien que estas en la NTDLL.DLL y no en la dll del programa. ese no es el OEP
Solid.

Solid [CrAcKsLaTiNoS]

cazanova

#5
26 Septiembre 2008, 08:08 AM Ultima modificación: 26 Septiembre 2008, 21:58 PM por cazanova
Cita de: tena en 26 Septiembre 2008, 00:00 AM
Porque te detecto el debuguer...

Escondelo con el plugin ollyAdvanced y tilda la opcion de IsdebugPresent..
ò al iniciar oly anda al dump en ebx+2 y cambia el byte...

Saludos...

probe con el "Isdebugpresent" y no anda, me sigue detectando al debugger, tmb probe con un script que me encontre leyendo, hide debugger y otro de invisible debugger, y dejo de detectar al debugger

ahora el problem es k dps d darle run se detiene en ese jump y luego no hay nada...

solidcls

#6
28 Septiembre 2008, 03:27 AM
si que hay !! es un JMP EAX, si miras el valor de EAX es : 4042b019, y, segun se ve en el registro, la direccion corresponde al modulo XtrapVa.  tenes que mirar con detalle ;)

saludos


Solid [CrAcKsLaTiNoS]
Imprimir
Ir Arriba Páginas1
Acciones del Usuario