duda dumper

qwerty_crack · 24 Junio 2007, 05:57 AM

alguno sabe de un dumper bueno para usar, y aparte como funciona bien yo se que se les llama volcador y que lo que hace es descomprimir el programa comprimido... creo que lo carga en la memoria, pero esta forma de cargarlo no hace falta siempre o si.

Shaddy · 24 Junio 2007, 08:18 AM

Cita de: qwerty_crack en 24 Junio 2007, 05:57 AM
alguno sabe de un dumper bueno para usar, y aparte como funciona bien yo se que se les llama volcador y que lo que hace es descomprimir el programa comprimido... creo que lo carga en la memoria, pero esta forma de cargarlo no hace falta siempre o si.

el mejor dumpeador que hay es el Lord PE, porque tiene el sistema "IntelliDump" que en vez de dumpear al completo dumpea por regiones, y eso hace que vuelque mas secciones que los demás. Volcar no es descomprimir el código, es siemplemente que el código ya descomprimido (descompreso por el propio packer) lo vuelcas, porque el packer para ejecutar el código original tiene que descomprimirlo en algún momento, es como si tienes un archivo de WinZIP, y cuando es ZIP no sabes que es (si lo miras con un editor hexadecimal) pero cuando se descomprime ya ves lo que es, ahora imagina que vuelcas los bytes descomprimidos en memoria y los guardas en un archivo, para así no tener que descomprimirlo. No se si me he explicado, pero ahí queda.

Salu2..

Shaddy · 24 Junio 2007, 08:21 AM

Cita de: qwerty_crack en 24 Junio 2007, 05:57 AM
alguno sabe de un dumper bueno para usar, y aparte como funciona bien yo se que se les llama volcador y que lo que hace es descomprimir el programa comprimido... creo que lo carga en la memoria, pero esta forma de cargarlo no hace falta siempre o si.

Perdona se me olvidó.

Lord PE Deluxe v1.4

DESCARGA AQUÍ

también de interés...

PE Tools

Salu2..

qwerty_crack · 24 Junio 2007, 20:06 PM

Citarahora imagina que vuelcas los bytes descomprimidos en memoria y los guardas en un archivo, para así no tener que descomprimirlo. No se si me he explicado, pero ahí queda.

entonces el volcador trabaja con lo que ya se descomprime, y lo tiene en memoria para poder trabajarlo sin la protección.
pero hay que guardar eso o no hace falta

Shaddy · 24 Junio 2007, 21:44 PM

Cita de: qwerty_crack en 24 Junio 2007, 20:06 PM
Citarahora imagina que vuelcas los bytes descomprimidos en memoria y los guardas en un archivo, para así no tener que descomprimirlo. No se si me he explicado, pero ahí queda.

entonces el volcador trabaja con lo que ya se descomprime, y lo tiene en memoria para poder trabajarlo sin la protección.
pero hay que guardar eso o no hace falta

claro se trata de eso, de que hay que volcar los bytes descomprimidos. Mira leete el tutorial que hice sobre UPX que te orientará bastante sobre el concepto.

Desempaquetando un UPX by Shaddy

Salu2..

qwerty_crack · 25 Junio 2007, 01:58 AM

sabes que me lo descarga y cuando lo abro no anda.. y ahora en este momento el link no anda... no puedes subirlo de vuelta pero que ande gracias, es que estoy muy interasndo.........

Shaddy · 25 Junio 2007, 23:02 PM

Cita de: qwerty_crack en 25 Junio 2007, 01:58 AM
sabes que me lo descarga y cuando lo abro no anda.. y ahora en este momento el link no anda... no puedes subirlo de vuelta pero que ande gracias, es que estoy muy interasndo.........

es raro porque en to2 las personas que pregunte les anda sin problemas, dime tu correo y te lo envío ahí

.

Salu2...

qwerty_crack · 26 Junio 2007, 15:07 PM

ya te enviado el mail gracias

qwerty_crack · 20 Julio 2007, 00:10 AM

los archivos que crea el volcador los abro con cualkier debugger o debe ser el wdasm..........

Shaddy · 20 Julio 2007, 00:15 AM

Cita de: qwerty_crack en 20 Julio 2007, 00:10 AM
los archivos que crea el volcador los abro con cualkier debugger o debe ser el wdasm..........

...la pregunta es un poco rara. pero vamos los archivos si es un .bin son bytes para agregar al a sección si es el .exe tendrás que arreglar la tabla IAT, y si es una region la puedes añadir en la cabecera.. el w32dasm y el OllyDBG ven lo mismo, solo bytes, los bytes son iguales no se hace de manera diferente, pero olvida ya el w32dasm...

Salu2..