Desempaquetar Molebox 2.5.7...

Iniciado por Puyover, 24 Junio 2009, 00:46 AM

0 Miembros y 1 Visitante están viendo este tema.

Puyover

Buenas!

Estoy intentado desempaquetar un exe, pero no logro dar con el fin de la IAT.
La versión de Molebox con el que se ha empaquetado el exe la he obtenido con el RDG Packer Detector y es MoleBox 2.5.7.

Aquí dejo una captura del Olly con el OEP y el inicio de lo que creo es el IAT:



(Link del Exe a desempaquetar: Aquí)

Supongo que el inicio del IAT es donde muestra la imágen pero... el fin?
Y lo de restarle a la OEP la Image Base no me funciona en el Import Reconstructor ya que me dice que no hay "nada" en ese punto...

En definitiva que no logro encontrar la IAT y no se si el OEP que he obtenido es el correcto...

Aquí os dejo los datos que llevo obtenidos:

EP           ----->  00 3B 6B 33
OEP          ----->  00 42 C6 90

Image Base   ----->  00 40 00 00
Size of Image   -->  00 3D 00 00

Inicio de la IAT ->  00 7B 6B 2B
Fin del IAT ------>  ?? ?? ?? ??


Agradecería cualquier ayuda ya que ando un poco perdido en este tema :huh:

Salu2!!
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.

tincopasan

la verdad q no tiene pinta de oep, deberias mirar en el memory map a q parte del codigo apunta la dirección q te figura como oep, y el molebox trae aparte 1 o 2 archivos q crea en el directorio temporal y q son dll q tambien hay q sacar.

tincopasan

me olvide!!! tambien seria bueno (me parece) q cambies la vista en el dump a long address, así es más facil seguir la iat

Puyover

Vale, no tenía ni idea de que molebox empaquetaba también 2 dlls con el exe :-\
Ahora entonces lo que tengo es un lio tremendo xDDD
Voy a mirarme primero el manual este de "Desempacando 2 DLL's Molebox v2.5.7 por Neutrino" a ver que tal se da.

Salu2!!
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.

Puyover

Estoy empezando a dudar de si la protección es molebox... Se supone que debreía crear algún archivo temporal de nombre MBX@7A0@7C14B8.### (me lo he inventado, cambia en cada ejecución) o algo parecido... pero ni lo crea ni lo ejecuta... así que no tengo ni idea de que puede estar pasando...

Alguna ayuda?
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.

karmany

A simple vista estoy con tincopasan: me parece que esa dirección no tiene pinta de ser el OEP. Es una dirección bastante alta y yo no reconozco ese oep, es como si estuviera todavía descomprimiendose.

Sobre Molebox hay muchos tutoriales, yo te recomiendo los hechos por Solid ya que hicieron muchos.

Molebox, por si no lo conoces, es un gran programa (para mí el mejor) para embeber librerías o archivos en el mismo ejecutable. Un programa con Molebox se descomprime y ejecuta las librerías en memoria sin necesidad de registrarlas. Con esto te quiero decir que tal vez necesites extraer determinadas librerías para que te funcione correctamente.

PD. Realmente Molebox es un programa excelente.

Puyover

Me miraré los tutoriales de Solid, porque ya no sabía ni lo que hacer ni nada.

Cuando consiga algo lo postearé aquí.

Salu2!!
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.

Puyover

Bueno, ya he encontrado el OEP y el inicio y fin de la IAT. El problema ahora es que no consigo encontrar donde escribe valores valores malos el molebox :/

Aquí dejo los datos que llevo, a ver si me podéis echar una manita:

1. EP:  003B6B33 + 00400000 = 007B6B33
   OEP: 00699EDA - 00400000 = 00299EDA
   ImageBase: 00400000
   SizeOfImage: 003D0000
   Inicio de la IAT: 002B9000 + 00400000 = 006B9000
   Fin de la IAT:    006B9000 + 0000065C = 006B965C

   Tamaño de la IAT: 0000065C
2. Primera entrada mala: 006B90FC -> A4 44 7C 00 -> Blackout.007C44A4
3. Conditional Breakpoint en VirtualProtect cuando EAX = 006B90FC

Hasta el punto 3 he ido bien pero al llegar al BP condicional, veo que EAX toma esa dirección pero a partir de ahí no se que hacer...

Salu2!!
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.

Puyover

Vale, he encontrado la instrucción que sobreescribe las entradas, la NOPeo, me voy al import reconstructor y meto el oep. Le doy a Get Imports pero me sigue diciendo que hay entradas malas o.O

Como es eso si he arreglado la instrucción que las sobreescribía????
Y otra cosa, se supone que molebox crea algunas dlls pero es que lo he mirado de mil formas y no crea NADA, si acaso lo único que hace el juego es cargar otras dlls suyas pero que no tienen nada que ver con molebox :/
"Si de verdad existe la maldad, existe solo en el corazón de las personas.", Edward D. Morrison.

tena

Pegate la iat aqui a ver si vemos algo

slds