Trial en vb6 native code autoextraible

Iniciado por silvau, 4 Noviembre 2010, 20:25 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2 3
Acciones del Usuario

silvau

#20
11 Diciembre 2010, 00:49 AM Ultima modificación: 11 Diciembre 2010, 00:54 AM por silvau
Esto me está volviendo loco... ahora mi aplicación ( la original) no quiere correr... marca un error de pila... Ya desintalé, reinstalé.. borré llaves de trial y nada... A menos q haya perdido una dll necesaria para q corra pero no sé como revisarlo.. Ya revisé  Con olly y ahí es donde marca una comparacíon de una dirección fuera del rango. obvio no la maneja el sistema y me bota.


El problema es que no sé si se debe a alguna modificación que me hizo el "semi-desempacado".. o tenga que ver con otra situación ajena al programa..


Sin embargo, el semi desempacado me sigue marcando el mismo error de version y no cae BP en CreateFileA.

Por otro lado, estuve investigando si es posible "adjuntar" información de la version a un exe...

Hay un programa q lo hace.. pero debe ser sobre un  exe totalmente desempacado.. Así que la aplicación es inservible en este momento...

En cuanto tenga adelantos actualizaré.




silvau

#21
18 Diciembre 2010, 00:07 AM
Hecho... recuperé la aplicación... puedo seguir con mis pruebas.. estoy revisando el log de olly y comparandolo con el funcional veo q el mensaje de error n la version aparece cuando quiere leer layout.dll. El archivo (semi desempacado ya) lo cargué tambien en smartcheck y me dice q está en p-code, supongo q por eso no puedo agregar la informacion de version con Resource Tunner..

Voy a empezar a revisar si puedo capturar el momento en q se quiere cargar layout.dll...

En cuanto a poner un Bp en CreateFile... voy a hacerlo en el original haber si cae. Por cierto lo estoy poniendo como: Bp CreateFileA. es correcto?

Avances los pubicaré.

silvau

#22
18 Diciembre 2010, 00:40 AM
Cita de: MCKSys Argentina en 10 Noviembre 2010, 04:30 AM
El hack que tiene la IAT, es en la funcion de VB que se usa para llamar funciones API de windows, o funciones externas (en DLL's).

La function es DllFunctionCall. En este EXE, esa funcion fue reemplazada por una del packer. En realidad, de esta forma esta funcionando mas lento, pero bueno... al menos intenta proteger el EXE...  :)

Si dumpeas el EXE, no te funcionara por este hack. Lo que hay que hacer, es agregar las secciones que contienen el codigo ejecutable y los datos de esa DLL "virtual" y reparar las referencias del EXE dumpeado.

Con un script lo puedes hacer en 2 patadas...  ;)

Saludos!

Cuando te refieres a " las secciones " ¿cómo supiste q eran varias?. En mi caso solo identifiqué una la q se encuentra en 01540000 en mi caso ya que es ahí donde salta el original cuando usa la entrada erronea.. pero ¿ hay alguna forma de saber si me hacen falta otras secciones o no? ¿Hay alguna forma de saber cuales son?. En el tuto de ricardo, menciona q las q sn del tipo priv son las q genera el packer... pero se supone q no son todas....

Alguna ayuda en ese campo te lo agradeceré MCKSys Argentina  ( A parte de toda la q me has dado.. ya q has sido el único hasta ahora q se ha dado el tiempo de comentar...Gracias.)

silvau

#23
24 Diciembre 2010, 01:37 AM
 :-( :-( :-(Alguna caridad con el tema.... Así como regalo de navidad :laugh: :laugh:

Felices fiestas.
Imprimir
Ir Arriba Páginas 1 2 3
Acciones del Usuario