Hola gente! Me presento, soy Carlos pero me pueden decir "car" xD
Tengo un problema con un programa q esta cifrado con Asprotect y he seguido varios tutos para removerle la proteccion pero no logro hacerlo arrancar, una vez q corrijo la IAT me tira error de aplicacion... calculo q estoy haciendo algo mal...
Los identificadores me tiraron estas versiones:
PEiD 0.95: ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
PEiD con VerA: Version: [ Unknown! ], Signature: [ 0BCBD2DA ], E-Mail: [ PE_Kill@mail.ru ]
ProtectioniD: ASProtect v2.3 - v2.4 (or newer) detected !
Vi en un post (http://foro.elhacker.net/ingenieria_inversa/esto_si_que_esta_dificil_asprotect_23626-t248295.0.html) de hace unos meses q a un usuario le pasaba algo similar, y siguiendo un video tutorial lo pudo sacar...
Si alguien tiene alguna data q me pueda servir se los agradecere...
Estoy usando el script Aspr2.XX unpacker v1.15e para ollydbg para llegar al OEP, pero hay algo q me lo hace mal cuando reconstruyo la IAT :huh:
Gracias!
Saludos. :)
Puede que tenga muchas de las tantas protecciones que tiene asprotect, mira, muestranos capturas de donde te sale el error y todo lo demas y nos quedaria mas facil ayudarte. En estos tiempos he aprendido algunas cosas sobre este packer, tanto así que estoy por resolver un SKE, y espero publicar un tute muy pronto, pero estoy corto de tiempo, pero mira, danos las caps o el programa y podremos decirte que proteccion mas o menos tiene ;).
Salu2
Hola Amerik@no, gracias por responder... si puede ser q tenga algo de eso, mira ahi te mando unos screens para q veas...
aca llego al EOP y hago el dump
(http://i43.tinypic.com/24nldzb.png)
arreglo la IAT
(http://i40.tinypic.com/2cctngk.png)
y cuando corro el soft tira este error...
(http://i42.tinypic.com/11jyq6d.png)
el soft esta para descargar en esta pagina (http://hxxp://www.gdssistemas.com.ar/evaluacion/maxikiosco/index.html)...
gracias!... saludos :)
Ese error quiere decir que hay una direccion que apunta a una zona de asprotect, es decir, puede que no este completamente reparada la IAT, o tambien que emule alguna API en la zona 160d7dc, o se trate de una maquina Virtual :-\, mira, en estos tiempos aun no logro desatarme de las tareas y por eso no tengo tiempo de ver detalles en el programa, pero cuando me desocupe te ayudo con esto en lo que mas pueda. Pero tambien prueba con el stripper a ver si te anda :D.
Te dejo un link donde puedes buscar la version que quieras del asprstripper y prueba a ver con cual te corre ;) que si es de hacerlo a mano se llevaria su tiempo en analizarlo, y eso es lo que menos tengo, pero aca en el foro tambien hay gente que te puede ayudar :D.
http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/ (http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/)
Salu2 y suerte.
gracias amerik@no, voy a probar con el stripper a ver si logro algo... no te preocupes no es muy urgente lo mio, solo q cuando me topo con algo no doy el brazo a torcer xD
bueno si llego a descubrir algo pondre el informe, tmb cualquier otra ayuda es bienvenida ;D
gracias por el link.
saludos!
Cita de: yocar en 13 Mayo 2009, 03:21 AM
gracias amerik@no, voy a probar con el stripper a ver si logro algo... no te preocupes no es muy urgente lo mio, solo q cuando me topo con algo no doy el brazo a torcer xD
bueno si llego a descubrir algo pondre el informe, tmb cualquier otra ayuda es bienvenida ;D
gracias por el link.
saludos!
Yo más que probar con el stripper miraría a ver porque te pide esa sección, muchas veces ASprotect también agarra el sistema de protección del mismo software, y puede que tenga que ver con la licencia (a lo mejor está buscando una variable de entorno, string para licencia, etc etc...), como última opción siempre puedes dumpear esa región y añadirla al desempaquetado.
Shaddy.
Hola Shaddy =), probe el stripper pero no me sirvio para esa version de aspr... he probado con el ollydbg ambos archivos para ir paso por paso y ver si hay alguna diferencia en el codigo, pero a simple vista hace todo igual, no tuve tiempo de examinarlo mas detalladamente... voy a probar eso q dices, ver q hay en esa region para ver si tiene algo q ver...
saludos!...
car.
Hola Yocar, bueno te cuento que yo alguna vez estuve mirando las aplicaciones de esa compañia, y te digo que al menos las que yo hice, ninguna tenia asprotect, he encontrado tElock, y no recuerdo si tambien ASPack, pero asprotect, seguro que no, no se si las que estas viendo son versiones mas nuevas a las que vi yo, esa captura del error que pones, me lo hacia a mi, porque el programa te borra el dumpeado, fijate por casualidad si cuando ejecutas el dumpeado, no crea un archivo .bat y ese archivo te borra el dumpeado cuando lo estas ejecutando.
Si te sirve de algo, yo hice un tutorial de uno de esos programas, son 2 partes y estan en la web de ricardo, en las teorias. cualquier cosa me avisas
Saludos.
Solid.
Cita de: yocar en 13 Mayo 2009, 03:21 AM
gracias amerik@no, voy a probar con el stripper a ver si logro algo... no te preocupes no es muy urgente lo mio, solo q cuando me topo con algo no doy el brazo a torcer xD
bueno si llego a descubrir algo pondre el informe, tmb cualquier otra ayuda es bienvenida ;D
gracias por el link.
saludos!
¿que hay en
0x4048BE?
Un saludo.
Shaddy.
P.D: Haz caso al consejo de Solid.
Hola gente como andan?
@solidcls: mira tengo dos versiones diferentes del programa, la mas vieja viene protegida con el tElock y la nueva con asprotect 2.3, por lo menos el RGD dice eso... con respecto al .bat si lo he visto, cuando pongo aceptar al error me borra el dump, pero lo q hago es antes de apretar aceptar borro el .bat asi no tengo q volver a dumpear... pero el tema del error, haciendo el traceo, me llama a una funcion q no existe, porq el codigo no es legible... voy a ver si puedo poner un screen... ahora voy a revisar el tutorial q hiciste gracias :)
@shaddy: no lo se LOL ahora voy a chequear eso, gracias! :)
saludos...
Cita de: solidcls en 29 Mayo 2009, 02:11 AM
Hola Yocar, bueno te cuento que yo alguna vez estuve mirando las aplicaciones de esa compañia, y te digo que al menos las que yo hice, ninguna tenia asprotect, he encontrado tElock, y no recuerdo si tambien ASPack, pero asprotect, seguro que no, no se si las que estas viendo son versiones mas nuevas a las que vi yo, esa captura del error que pones, me lo hacia a mi, porque el programa te borra el dumpeado, fijate por casualidad si cuando ejecutas el dumpeado, no crea un archivo .bat y ese archivo te borra el dumpeado cuando lo estas ejecutando.
Si te sirve de algo, yo hice un tutorial de uno de esos programas, son 2 partes y estan en la web de ricardo, en las teorias. cualquier cosa me avisas
Saludos.
Solid.
¿es el que te deshabilita el boton de remitos?