Hola Amigos del foro.. saben me he leido el tuto de como desempaquetar UPX para noobs pero necesito observar algunos Offsets Para solucionar algunos problemas pero como digo apenas soy nuevo en este campo para ver si me podia ayudar un poco solo con quitar La protecion al .EXE todo esta bien porque lo demas esta todo fino funciona. solo lo necesito porque en verdad necesito editar algunas cosas en el .EXE
Agradeceria mucho
AQUI les dejo El link de descarga de lo que necesito que desempaquen
Http://bulldog.sytes.net/test/Normal.rar (Http://bulldog.sytes.net/test/Normal.rar)
Si solo lo quieres para editarlo...
Lo podes desempacar con el plugin que trae el Peid
saludos
Aunque el tute de shady esta muy bien explicado paso a paso y no deberias tener problema alguno..
Saludos
Ni el exe ni ninguno de los dll que estan junto a el estan comprimidos con el upx, acabo de comprobarlo.
Saludos...
Songoku
si es upx, lo acabo de desenpacar ahora mismo.
para Soultrain:
Cuando lo desenpaques manualmente nopea un call que hay en esta direccion 0052097E o te dara un error ya que eip pilla un valor un poco raro. despues de eso el ejecutable funciona no se si en algun punto llegara a fallar pero no tiene pq.
Chamo es el problema con mi maquina tengo 1.5Gb de ran y 2.8 de procesador
descargue el Ollydbg de el tuto y se keda kargandoooo!!! y se laguea y nunk termina de abrir nose aque se deba eso..!!..
y no me lo podran dejar desempaquetado??
cuando intento desempaquetarlo no me manda al pushad ni al otro..!!!
solo necesito el Gameserver.exe desempaquetado ya que es el unico que ta empaquetado xD
mira puedes ir al popad a ojo, en upx se ve a simple vista:
005D9084 61 POPAD
005D9085 ^E9 0B1FFCFF JMP GameServ.0059AF95
ahi tienes el popad y el jmp oep,yo en mi caso llegados a este punto hago un jmp eip y vuelco el proceso, despues se arregla lo que toque y ya esta listo.
Citardescargue el Ollydbg de el tuto y se keda kargandoooo!!! y se laguea y nunk termina de abrir nose aque se deba eso..!!..
pues ni idea, a mi el defixed tb se me cuelga. usa el olly "normal" y no problem.
Citary no me lo podran dejar desempaquetado??
como poder... pero es un paquer que se quita en 5 minutos y si te lo damos no vas a aprender. tu ponte y los problemas que te de ves preguntando.
Primero me voy a Clt+G
y voy al offset
005D9084 61 POPAD
005D9085 ^E9 0B1FFCFF JMP GameServ.0059AF95
Luego le doy F8 y no me sale como en la guia.. xD
estoy viendo aver como ago mejor.. y eso de volcar no se como se hace
Pues si vas a ir con ctlr+g a 5D9084 ( el popad )
05D9084 61 POPAD
005D9085 ^E9 0B1FFCFF JMP GameServ.0059AF95
pones un bp ahi con F2 y luego das run con F9, despues traceas con F8 hasta que pases el jump y caes al oep, que es 59AF95.
Para dumpearlo podes usar el plugin olydump, o tambien con LordPE elejis el proceso y luego dump full, despues vas tener que modificar el EP por el OEP, y arreglar la iat con Import Reconstructor...
suerte
Citarsi es upx, lo acabo de desenpacar ahora mismo
Que extraño!!! mas que nada porque a mi el upx no me dice que este comprimido y claro esta no me permite su descompresion. Y el file inspector tampoco me dice que sea el upx el compresor con el que estan comprimidos esos archivos.
Saludos...
Songoku
CitarQue extraño!!! mas que nada porque a mi el upx no me dice que este comprimido y claro esta no me permite su descompresion.
eso es pq esta modificado para complicarlo un poco, pero se ve a ojo que si es upx. logicamente aqui estamos descomprimiendo manualmente.
CitarY el file inspector tampoco me dice que sea el upx el compresor con el que estan comprimidos esos archivos.
file inspector si no es que han sacado una version nueva, cuando yo estaba activo en este tema (hace años) ya estaba desfasado.
Osea q para yo poder desempaquetarlo va a hacer un proceso?
para tu poder desenpacarlo eso de que "va a hacer un proceso", no se que quieres decir. cargalo en el debugger y baja a ojo al popad que se ve. despues veras un jmp si no es justo debajo un pelin mas bajo esta y pones alli un bp. como ya dije, yo en el punto que estoy en el jmp lo modifico y pongo el valor de eip para hacer un bucle y lo vuelco. despues solo te queda modificar entrypoint etc.