Problemas con aspack 2.12

.:UND3R:. · 28 Octubre 2011, 18:26 PM

No me lo creerás pero realizo lo que me comentas y dumpeo la sección .text que es la primera que ya está tildada y reparo y vuelve a salirme el mismo error :S

Desconozco lo que está pasando

Иōҳ · 28 Octubre 2011, 19:06 PM

Te fijastes en el HEAD?

El error ese te sale ni bien abres el proggie con el Olly?

Nox.

.:UND3R:. · 28 Octubre 2011, 19:21 PM

Cita de: Иōҳ en 28 Octubre 2011, 19:06 PM
Te fijastes en el HEAD?

El error ese te sale ni bien abres el proggie con el Olly?

Nox.

Detenido en el OEP doy F9 y me muestra el error

Saludos

Иōҳ · 28 Octubre 2011, 19:39 PM

Cita de: .:UND3R:. en 28 Octubre 2011, 05:36 AM
Destildo todas las excepciones pero no se genera ninguna solo aparece el mensaje de error

Fijate en el LOG.

Иōҳ · 28 Octubre 2011, 20:19 PM

Creo que debistes ser más especifico.

Haber vallamos por partes.

Estos son los datos que yo saqué

Target: C:\Documents and Settings\Nox\Escritorio\DFStd.exe
OEP: 00001536 IATRVA: 00190164 IATSize: 00000EB4

Hay bastante basura en la IAT pero no es problema luego el mensaje de ERROR es del mismo deepfrezer tiene algún tipo de comprobación, más me parece que comprueba si a sido o no desempacado. Y el mensaje sale en un MSGBOX

Así que pones un BP a MessageBoxA, y puedes seguir tracendo desde ahí, mas arriba hay un salto que te envía a ese error.

0040A62A /0F84 B8000000 JE dump_.0040A6E8

Este evita que salga el mensaje de error, cambias el flag para que no salte, y sigues traceando te daras cuenta que ocurre una excepción.

Ahí me quedé estoy viendo que valor debe ir ahí, para que no ocurra una excepción.

aquí ocurre la excepción.

00406131 |. 8B10 MOV EDX, DWORD PTR DS:[EAX]

Siendo que EAX = 00000000

!

EDITO:

Mirando el proggie original, JAMAS llega a ese salto es más nisiqueira entra a esa rutina.

Y si vez todas las referencias que se hacen hacía esa rutina, son muchas, así que creo que la opción sería poner un BP a CreateFileA y se abre a si mismo, ahí estoy.

Cualquier cosa que vea comento.

Despues de almorzar, que me llaman!

Pd: El Unpack! está bien (almenos el mío

), lo que falta es hacer que corra el proggie ya que tiene una comprobación que está jodiendo

!

Nox.

.:UND3R:. · 28 Octubre 2011, 22:09 PM

Cita de: Иōҳ en 28 Octubre 2011, 20:19 PM
Creo que debistes ser más especifico.

Haber vallamos por partes.

Estos son los datos que yo saqué

Target: C:\Documents and Settings\Nox\Escritorio\DFStd.exe
OEP: 00001536 IATRVA: 00190164 IATSize: 00000EB4

Hay bastante basura en la IAT pero no es problema luego el mensaje de ERROR es del mismo deepfrezer tiene algún tipo de comprobación, más me parece que comprueba si a sido o no desempacado. Y el mensaje sale en un MSGBOX

Así que pones un BP a MessageBoxA, y puedes seguir tracendo desde ahí, mas arriba hay un salto que te envía a ese error.

0040A62A /0F84 B8000000 JE dump_.0040A6E8

Este evita que salga el mensaje de error, cambias el flag para que no salte, y sigues traceando te daras cuenta que ocurre una excepción.

Ahí me quedé estoy viendo que valor debe ir ahí, para que no ocurra una excepción.

aquí ocurre la excepción.

00406131 |. 8B10 MOV EDX, DWORD PTR DS:[EAX]

Siendo que EAX = 00000000

!

EDITO:

Mirando el proggie original, JAMAS llega a ese salto es más nisiqueira entra a esa rutina.

Y si vez todas las referencias que se hacen hacía esa rutina, son muchas, así que creo que la opción sería poner un BP a CreateFileA y se abre a si mismo, ahí estoy.

Cualquier cosa que vea comento.

Despues de almorzar, que me llaman!

Pd: El Unpack! está bien (almenos el mío ), lo que falta es hacer que corra el proggie ya que tiene una comprobación que está jodiendo !

Nox.

disculpa no comenté que el error era del programa y calzamos con los mismos datos pero de todas formas generan el error sonará extraño pero que bueno que no sea el único que tenga el mismo error

Saludos

.:UND3R:. · 3 Noviembre 2011, 05:25 AM

Alguien lo ha logrado?

Saludos

apuromafo CLS · 4 Noviembre 2011, 10:55 AM

segun recuerdo el unpacker habia analizado el packer completo con alineacion y todo

pero los detalles que toma en cuenta y que se nos olvida aveces son
*agregar el overlay que muchas veces es creado en runtime
*alineacion cabezera pe de numero de secciones
*confirmacion de la sección TLS
*reserva de direcciones por anti-heap
*reparacion de la iat

eso son los que mas recuerdo ahora bien, intenta usar FUU para unpack a aspack, el codigo de fuente esta todo explicado en el sitio de nahuel, insisto, si hay tool y funciona, basta ahora comparar las diferencias!..

esos del call dword eax, intenta ver si antes lo hacia, aveces suelen haber llamadas del estilo

call dword formulario, que solo son inicializados cuando esta empacado (notese los ultimos unpack y cracked que se comentaron de asprotect)

bueno animo en todo Apuromafo

cibergolen · 9 Noviembre 2011, 15:55 PM

Yo más bien diría un fallo en la IAT... ¿Qué te muestran los logs?
¿Estás seguro que accediste al OEP? ¿Cuál es el error concreto que te lanza? (visita los logs) ¿Stolen bytes?

Más tarde intentaré desempaquetar y comento

Un saludo

.:UND3R:. · 9 Noviembre 2011, 17:45 PM

Cita de: cibergolen en 9 Noviembre 2011, 15:55 PM
Yo más bien diría un fallo en la IAT... ¿Qué te muestran los logs?
¿Estás seguro que accediste al OEP? ¿Cuál es el error concreto que te lanza? (visita los logs) ¿Stolen bytes?

Más tarde intentaré desempaquetar y comento

Un saludo

Muchas gracias espero noticias, Saludos

PD: Si lees los post notarás donde se produce el error y todo lo demás