[.EXE Protegido con UPX V1.95 Beta 2.00W] Ayuda

Soultrain · 21 Marzo 2008, 09:27 AM

Hola Amigos del foro.. saben me he leido el tuto de como desempaquetar UPX para noobs pero necesito observar algunos Offsets Para solucionar algunos problemas pero como digo apenas soy nuevo en este campo para ver si me podia ayudar un poco solo con quitar La protecion al .EXE todo esta bien porque lo demas esta todo fino funciona. solo lo necesito porque en verdad necesito editar algunas cosas en el .EXE

Agradeceria mucho
AQUI les dejo El link de descarga de lo que necesito que desempaquen
Http://bulldog.sytes.net/test/Normal.rar

tena · 21 Marzo 2008, 18:51 PM

Si solo lo quieres para editarlo...

Lo podes desempacar con el plugin que trae el Peid

saludos

tena · 21 Marzo 2008, 18:53 PM

Aunque el tute de shady esta muy bien explicado paso a paso y no deberias tener problema alguno..

Saludos

Songoku · 21 Marzo 2008, 19:00 PM

Ni el exe ni ninguno de los dll que estan junto a el estan comprimidos con el upx, acabo de comprobarlo.
Saludos...

Songoku

byebye · 21 Marzo 2008, 21:35 PM

si es upx, lo acabo de desenpacar ahora mismo.

para Soultrain:

Cuando lo desenpaques manualmente nopea un call que hay en esta direccion 0052097E o te dara un error ya que eip pilla un valor un poco raro. despues de eso el ejecutable funciona no se si en algun punto llegara a fallar pero no tiene pq.

Soultrain · 22 Marzo 2008, 17:56 PM

Chamo es el problema con mi maquina tengo 1.5Gb de ran y 2.8 de procesador

descargue el Ollydbg de el tuto y se keda kargandoooo!!! y se laguea y nunk termina de abrir nose aque se deba eso..!!..

y no me lo podran dejar desempaquetado??

cuando intento desempaquetarlo no me manda al pushad ni al otro..!!!

solo necesito el Gameserver.exe desempaquetado ya que es el unico que ta empaquetado xD

byebye · 22 Marzo 2008, 19:20 PM

mira puedes ir al popad a ojo, en upx se ve a simple vista:

Código [Seleccionar]


005D9084   61               POPAD
005D9085  ^E9 0B1FFCFF      JMP GameServ.0059AF95

ahi tienes el popad y el jmp oep,yo en mi caso llegados a este punto hago un jmp eip y vuelco el proceso, despues se arregla lo que toque y ya esta listo.

Citardescargue el Ollydbg de el tuto y se keda kargandoooo!!! y se laguea y nunk termina de abrir nose aque se deba eso..!!..

pues ni idea, a mi el defixed tb se me cuelga. usa el olly "normal" y no problem.

Citary no me lo podran dejar desempaquetado??

como poder... pero es un paquer que se quita en 5 minutos y si te lo damos no vas a aprender. tu ponte y los problemas que te de ves preguntando.

Soultrain · 24 Marzo 2008, 23:23 PM

Primero me voy a Clt+G
y voy al offset
005D9084 61 POPAD
005D9085 ^E9 0B1FFCFF JMP GameServ.0059AF95

Luego le doy F8 y no me sale como en la guia.. xD

estoy viendo aver como ago mejor.. y eso de volcar no se como se hace

tena · 25 Marzo 2008, 01:53 AM

Pues si vas a ir con ctlr+g a 5D9084 ( el popad )

05D9084 61 POPAD
005D9085 ^E9 0B1FFCFF JMP GameServ.0059AF95

pones un bp ahi con F2 y luego das run con F9, despues traceas con F8 hasta que pases el jump y caes al oep, que es 59AF95.

Para dumpearlo podes usar el plugin olydump, o tambien con LordPE elejis el proceso y luego dump full, despues vas tener que modificar el EP por el OEP, y arreglar la iat con Import Reconstructor...

suerte

Songoku · 25 Marzo 2008, 02:13 AM

Citarsi es upx, lo acabo de desenpacar ahora mismo

Que extraño!!! mas que nada porque a mi el upx no me dice que este comprimido y claro esta no me permite su descompresion. Y el file inspector tampoco me dice que sea el upx el compresor con el que estan comprimidos esos archivos.
Saludos...

Songoku