Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Programación => Ingeniería Inversa => Mensaje iniciado por: .:UND3R:. en 21 Julio 2011, 10:58 AM

Título: Problema en el capítulo 51 ricardo narvaja (UnPackMe_ASProtect.2.3.04.26.a)
Publicado por: .:UND3R:. en 21 Julio 2011, 10:58 AM
Hola, siguiendo el tutorial de ricardo narvaja capítulo 51 tengo problemas con econtrar el OEP en el unpackme: UnPackMe_ASProtect.2.3.04.26.a

siguiendo el tutorial se habla de hacer un Break point memory on execution a través del pluguins ollybone al intentar me aparece "Access violation when writin to [00000]:
(http://s2.subirimagenes.com/otros/previo/thump_6692976prtscr-capture.jpg)

No puedo pasar la excepción, también la añadí en la configuración de ollydbg pero no he logrado saltarla, también he intentado utilizar el pluguins de bp memory on execution pero sucede el mismo problema, he testeado bajo windows 7,xp

*He configurado ollyadvance tal como lo indican las imágenes del capítulo pero no lo he logrado.

Saludos
Título: Re: Problema en el capítulo 51 ricardo narvaja (UnPackMe_ASProtect.2.3.04.26.a)
Publicado por: karmany en 21 Julio 2011, 15:18 PM
Tal vez sea problema del driver. Me imagino que será un Asprotect de los antiguos donde para encontrar el OEP se hace por el método de las excepciones (en los nuevos ya no es así).

Ese error lo tienes que descubrir probando, desde un Olly nuevo o algún parcheado y quitando plugins que no utilices... A mi me dió en su día muchos problemas OllyBone y no lo utilizo nunca, prefiero estudiar el código y buscar otra forma de encontrar el OEP.
Título: Re: Problema en el capítulo 51 ricardo narvaja (UnPackMe_ASProtect.2.3.04.26.a)
Publicado por: apuromafo CLS en 21 Julio 2011, 22:35 PM
oep:4271b0
Version Info:[2.3 build 04.26 Beta], [stephenteh TEAM RESURRECTiON].

Título: Re: Problema en el capítulo 51 ricardo narvaja (UnPackMe_ASProtect.2.3.04.26.a)
Publicado por: .:UND3R:. en 22 Julio 2011, 00:16 AM
Cita de: apuromafo en 21 Julio 2011, 22:35 PM
oep:4271b0
Version Info:[2.3 build 04.26 Beta], [stephenteh TEAM RESURRECTiON].



En el tutorial sale la ubicación pero como lo consigo? con qué método?

Gracias

Cita de: karmany en 21 Julio 2011, 15:18 PM
Tal vez sea problema del driver. Me imagino que será un Asprotect de los antiguos donde para encontrar el OEP se hace por el método de las excepciones (en los nuevos ya no es así).

Ese error lo tienes que descubrir probando, desde un Olly nuevo o algún parcheado y quitando plugins que no utilices... A mi me dió en su día muchos problemas OllyBone y no lo utilizo nunca, prefiero estudiar el código y buscar otra forma de encontrar el OEP.

Probaré ir a la última excepción y luego de eso pondré el BP

Saludos
Título: Re: Problema en el capítulo 51 ricardo narvaja (UnPackMe_ASProtect.2.3.04.26.a)
Publicado por: .:UND3R:. en 22 Julio 2011, 07:42 AM
Probé el de la excepción y funcionó sin ningún problema  ;-) por si algunos tienen duda

utilizamos la API:
CitarKiUserExceptionDispatcher
la utilicé como logeadora de excepciones y me fijé que ESP+14 apunta a la dirección en donde se produce la excepción, se logea y luego de eso se toma la última dirección y se pone un conditional log para que se detenga cuando esp+14==última dirección

luego de eso ponemos un bp on execution

y se detiene en:


004271B0    55              PUSH EBP
004271B1    8BEC            MOV EBP,ESP
004271B3    6A FF           PUSH -1
004271B5    68 600E4500     PUSH UnPackMe.00450E60
004271BA    68 C8924200     PUSH UnPackMe.004292C8

Saludos y gracias
Sólo texto | Texto con Imágenes