Programa dificil, Paso 1.

Iniciado por Redesoft, 25 Octubre 2006, 12:22 PM

0 Miembros y 2 Visitantes están viendo este tema.

Redesoft

Cita de: Mintaka en 14 Julio 2008, 13:52 PM
Cita de: Redesoft en 14 Julio 2008, 13:14 PM

Lo siguiente que toca es corregir la IAT, lo que no tengo muy claro es si siempre que se llama a una api se hace con jmp dword.... o si también se puede llamar con call. Ayer me tire media hora dandole al f7 y traceando y no llegue a nigún jmp dword y me fuy a dormir ya por aburrimiento.

En fin, a ver si tengo una noche libre y me pongo a verlo mas detendiamente todo.

Un saludo.

Bien bien, te felicito.Ya nos queda menos.
En mi pobre opinión como aprendiz, más bien perro viejo, (jejeje, ya veo a más de cuatro riéndose), es que estamos ante un protector, dentro de la escala de los difíciles, de los más fáciles.Y por este motivo, este hilo podría hacerse bastante largo.
Todas esas zonas de llamadas que intentas trazar con F7 te pueden llevar a la tumba.Está todo ofuscado a propósito, para derrotarnos por aburrimiento.Si te has leído al completo el tutorial que te aconsejé, entenderás como lo hace para conseguir entrar en la API correspondiente del kernel "sin ser visto", por el cracker de turno.
Yo también estoy en ello, porque ahí lo abandoné.No fuí capaz de conseguir un desempacado funcional en su día.Ahora en el poco tiempo libre de que dispongo voy a seguir indagando.Por las anotaciones que tengo, me quedan dos API's dudosas que resolver y posteriormente hacer que las call's se dirijan a las API's en cuestión.
Que la fuerza nos acompañe amigo.

Mintaka

Bien, en el tutorial el tio va traceando con f7 hasta llegar a la llamada de una api, luego mira el registro de memoria para ver donde empieza la iat y donde termina. El caso es que en este caso por mucho que le des a f7 no se en que punto intenta entrar en la iat. He llegado a

00B9128C  |. FF15 2812BF00  CALL DWORD PTR DS:[BF1228]

que es donde da la primera excepción. Que digo yo que la excepcion la dará porque intenta acceder a una api que en realidad está ofuscada y al no encontrarla peta y el programa muere.

Intento mirar la parte de memoria de bf1228 pero ni iat ni leches XD

creo que me he vuelto a perder jejejeje

Mintaka

Cita de: tena en 15 Julio 2008, 16:46 PM

Naaaa porque crees eso ?  ;D

Saludos Amigo

Tena, por el llajú te respondo (ya sabes, a la hora del hueso)  ;D
Un abrazo,

Mintaka
Si lloras por no ver el Sol tus lágrimas no te dejarán ver las estrellas.(Tagore)

Mintaka

Cita de: Redesoft en 14 Julio 2008, 13:14 PM

creo que me he vuelto a perder jejejeje


Hola Redesoft.
Sí, estás perdido y creo que mucho.Para abordar una protección como ésta, debes tener varios conceptos de unpacking claros.Para no extenderme y aburrir a los lectores del foro, te recomiendo, aconsejo, suplico (porque te veo con ganas), que te leas los capítulos o partes:

PARTE 031  -  UNPACKING - NOCIONES BASICAS
PARTE 032  -  UNPACKING - BUSCAR OPCODES, BUSCADOR DE OEP DE OLLY, METODO PUSHAD, METODO EXCEPCIONES, METODO API MUY USADA,
         METO PRIMERA API EJECUTADA
PARTE 033  -  UNPACKING - QUE ES IAT Y COMO REPARARLA
PARTE 034  -  UNPACKING - CON AYUDA DE PE TOOLS, IMPREC
PARTE 035  -  UNPACKING - CON OLLYDUMP, IMPREC  (EJEMPLO ASPACK)
PARTE 036  -  UNPACKING - CON OLLYDUMP, IMPREC  (OTRO EJERCICIO PRACTICO)
PARTE 037  -  UNPACKING - REPARAR ENTRADAS REDIRECCIONADAS
PARTE 038  -  UNPACKING - REPARAR ENTRADAS REDIRECCIONADAS

que escribió un tal Ricardo Narvaja y los ejercites con la víctima.
Los encuentras aquí:

zzzz://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/

Te lo digo porque a partir del punto en que ya lo tienes desempacado y parado el programa en el OEP, empieza el "ball de bastons", o sea, lo más batallador que tiene el protector este.Hazme caso y aprenderás la ostia.
Suerte,

Mintaka
Si lloras por no ver el Sol tus lágrimas no te dejarán ver las estrellas.(Tagore)

Redesoft

Gracias por el link. Segun veo en el indice el tema del unpacking acaba en el capitulo 55 así que ya que me pongo.... total... cuanto tiempo me puede llevar empollarme eso? un mes?? como mucho.... tampoco tengo prisa así que jejeje

un saludo ;)

apuromafo CLS

por ser svpk y tener una complejidad media/media alta quizas con 1 o 2 meses es mas que suficiente, pero si te apoyas en scripts de olly quizas lo saques en menos, quien sabe

Redesoft

Ya, me he dado cuenta de que al parecer es un empakador de los dificiles, lo de usar scripts pues si, va bien, quizas si lo logramos hacer de forma manual pues luego investigo como hacerlo por scripts, total esto lo hago por aprender, si veo que me viene grande y no logro hacer nada pues tampoco pasaría nada jejeje, bueno si, mataría a mi orgullo propio pero por lo demas todo bien.

apuromafo CLS

por algo se dice que el cracking o ingenieria inversa da logros personales

;) animo , esperamos leer cuando ya tengas mas avanzado el tema