En serio nadie puede ayudarme??? programa desempacado q se cierra en olly

Iniciado por manakagruya, 6 Febrero 2012, 15:41 PM

0 Miembros y 1 Visitante están viendo este tema.

manakagruya

estaba empacado con telock, lo desempaco y cuando lo ejecuto en olly se cierra, y el exe original (empacado) funciona bien, alguna idea??

Иōҳ

Eres adicto a la Ing. Inversa? -> www.noxsoft.net

manakagruya

Fuera del olly pasa exactax lo mismo q en olly, el exe original va bien, el desempacado (estaba empacado con telock y lo desempaque con VMUnpacker) y ha subido unos 3 megas de tamaño, se cierra, y me abre un monton de ventanas de mis documentos, a veces 2 o 3, otras veces entra en bucle y tengo q cerrar el programa para q pare de abrir mas ventanas. Igual q en olly, el original bien, el desempacado se cierra. He probado con HideOd, phantom, pero nada.

MCKSys Argentina

Quizas lo que esta detectando es el desempacado y no el debugger...
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


manakagruya

hola de nuevo, gracias eres el unico que aunque sin soluciones, ni ninguna teoria para poner en prueba me estas echando una mano.
Explicate por favor, porq no entiendo lo q quieres decir.
Por lo que veo es que SIN DESEMPACAR corre bien el programa tanto en olly como sin el, y una vez que LO DESEMPACO se cierra y me abre ventanas de MIS DOCUMENTOS tanto en olly como sin el.
Vale, vale.... lo entendi ahora mismo.



Entonces en caso de que el PROGRAMA DESEMPACO detecte que esta DESEMPACADO como hago para que el PROGRAMA DESEMPACADO no lo sepa, o no lo vea.

MCKSys Argentina

Debes buscar el lugar donde hace los chequeos.

Si el chequeo lo hace contra el EXE original, puedes poner un BP en CreateFile y ver cuando se abre a si mismo. Desde ahi puedes tracear hasta el lugar del chequeo per-se.

Ahora, si hace el chequeo en memoria, es mas dificil de encontrarlo. Deberas tracear haci atras desde el punto donde hace todas esas "cosas raras" que has dicho.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


tincopasan

probaría verificando el tamaño del archivo empacado, es decir le agregaría unos bytes para ver si funciona igual(comprobación de tamaño) y no aclaraste si el programa dumpeado le pusiste el mismo nombre (a veces hay comprobación de nombre) es lo más fácil que se me ocurre probar

manakagruya

bueno, le cambie el nombre de unpacked por el nombre original, pero sigue igual, si pudiera dejarlo estable (el desempacado) podria usar el dede, el icr, el resource hacker,

El otro dia traceando encontre un serial, que probe y funciono (el programa abre archivos del nba 2k11, nba 2k12, mlb 2k11, nba 2k11 xbox360, y tiene dos opciones mas que quiere vender el tio tambien), vi q hacia una comprobacion con el mi nombre de usuario, y dos constantes mas... total hice unos calculos, Y FUNCIONO!!!!

Agradeceria ayuda para dejar estable el desempacado

Иōҳ

has lo que te dice MCKSys Argentina   :silbar:

por ejemplo si es lo primero que él te dice y se te hace engorroso "bypassear" eso, puedes cambiar la ruta al del exe original...

Saludos.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

apuromafo CLS

se que nadie le importaba este tema, pero quiero revivirlo un poco aprovechando un privado de un usuario que me llegó
veamos las hazañas

1) estaba empacado con telock
2) luego de correr en runtime, desde el mismo EP, uno va a los 2 saltos tiene el oep
3) luego de reconstruir la iat (engorrosa iat tiene telock 1)
me puse mejor a buscar mis tools de unpacking y resultó, pero el oep estaba mal, asi que corregido, corre, por otro lado
abre unas 32 ventanas de mis documentos,
tiene a lo menos 2 forms de antidebug
1)la primera form ataca a los monitores, drivers y otros
2) la segunda form ataca a el Mutex (una variable que aparece buscando la ventana, si la encuentra da el error y te abre 30 o mas ventanas..

luego de vencida las 2 antidebug, hay que buscar como registrar, ahi voy...supongo que con ese paso de avance deberia ser suficiente demostrar que con un poco de ing inversa es posible resolverla...
saludos Apuromafo
pd:no sirve nada de createfileA, ni similar, estos tienen otra estrategia..(pillar el debugger y cerrar ventanas o fastidiar abriendo ventanas)