¿Porqué cuando desempaqueto con SCRIPT en OLLYDBG crashea?

Iniciado por josue9243, 18 Junio 2017, 03:53 AM

0 Miembros y 1 Visitante están viendo este tema.

josue9243

Termina de desempaquetar, termina el script todo, sale todo bien, y al abrir el .exe crashea, o al cargar una dll también crashea.

El tema es que me pasa con el script de ASProtect y el de Ultra unpacker Themida 1.4.

Pero cuando lo hago con un programa ejemplo que encontre en Youtube funciona bien.

Es por el IAT o el OEP o algo parecido?, si podrian decirme pls.

apuromafo CLS

la gran mayoria de los script apoyan en una parte, la parte de encontrar el oep y hacer dump en ese punto, la parte de la iat normalmente se hace manual (casi siempre pensando en la opcion de volx, para asprotect) y el script de lcf para themida (para un sistema operativo distinto al xp)

en general todos los script se han movido en un environment de windows xp, los errores nuevos son porque muchas apis usan redirecciones diferentes y no siempre son resueltas (de windows 7 en adelante)

en general si verificas lo que digo, no se un simple upx, con oep conocido mas tool unpacker de script puede dumpear mas iat bien en xp,pero en windows 7 pueden haber 2 apis malas, en windows 8 o 10 unas 3 malas o 4.. es tema puntual de como resuelve la iat

por otro lado aun un programa con buen oep y buena iat, pueden haber verificaciones de crc (comun de encontrar en execryptor y asprotect)

yo te sugiero para hacer unpack en asprotect el uso de plugin de hedneka..llamado codedoctor, al minuto es el mejor script/tool para asprotect, luego le sigue el unpacker de pekill (exelab), luego los script de volx (con o sin environment , con o sin resolve vm) y luego las demas que puedas encontrar....

para themida y winlicense, es un tema puntual, cada version es tan unica que es bueno aprender a hacerlo manual y tardar mucho pero hacerlo bien


Saludos Apuromafo

josue9243

Hola, otra cosa que queria saber que me quedo en duda, me lei unos libros de ASProtect etc, entendi bien pero el tema.

A veces dice RVA RVS etc, que seria Real Virtual .... pero en los scripts de ASProtect dice que insertes eso manualmente, y en IMPRec no encuentro por ningun lado el Start RVA End RVA o algunas cosas de esas.

y si se refiere a los directorios tipo los modulos tienen como 10 modulos y solo me tira un RVA y un RVA END osea... ¿Porque seria eso o a que se refiere?

Se agradece que me contestaras  :D

PD: ¿Qué version de Windows XP conviene SP cuanto?. SP1 2 o 3? (o no sé, tipo lo emulo yo en VMWare) (Crei aver leido la SP2)

apuromafo CLS

#3
yo siempre usaba la sp3, para vm (virtualbox o vmware), en faq mis sugerencias (habilitar hiper...)


para desempacar con import rec y scylla son temas diferentes, es tema de leer un poco mas de la estructura del pe Header

por otro lado, es necesario interiorizarse y leer bastante antes de hacer un juicio asi a secas

te dejo de lectura recomendada esta:
http://ricardonarvaja.info.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/874-Desempaquetando%20un%20UPX%20para%20RE-Newbies%20por%20Shaddy.zip

josue9243

Muchas gracias, otra cosa, veo que todos en este foro ponen ricardonavaja.com, cuando en realidad es .info  ;D

uhh gracias, con este tutorial me quedo algunas cosas más claras. (tenkiu  :P)

MCKSys Argentina

Cita de: josue9243 en 21 Junio 2017, 18:52 PM
Muchas gracias, otra cosa, veo que todos en este foro ponen ricardonavaja.com, cuando en realidad es .info  ;D

Es por una autocorrección del foro.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


.:UND3R:.

En cierta forma los scripts deben ser tomados como referencia, puedes sacar la idea de estos, ver más bien que es lo que hacen y cómo puedes adaptar este al ejecutable que posees, saludos.

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

josue9243

Se agradece el consejo, pero lo tendre en cuenta ese consejo en un futuro, ahora estoy sabiendo medianamente lo básico, como crackear programas, creación de cheats, todo esto lo hago viendo desde el depurador, antes de ayer aprendi para que servian los bits de signaturas, como el 0x90 que es un NOP etc.

:P