Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Programación => Ingeniería Inversa => Mensaje iniciado por: dragonballz en 11 Noviembre 2003, 22:20 PM

Título: Win32 PE Unknown
Publicado por: dragonballz en 11 Noviembre 2003, 22:20 PM
nuevamente soy yo y espero no cansalos con tanta pregunta esta vez mi pregunta es con que programa puedo desempacar: Win32 PE Unknown

gracias
Título: Re:Win32 PE Unknown
Publicado por: shoulck en 11 Noviembre 2003, 23:39 PM
Pues no lo se, posiblemente eso ni si kiera sea un packer. Y en el caso de que lo sea siempre puedes hacerlo a mano. :)
Título: Re:Win32 PE Unknown
Publicado por: shoulck en 12 Noviembre 2003, 10:30 AM
Bueno ya me asegure de que kiere decir Win32 PE Unknown, y es que no reconoce al packer en el caso de estar empakado.
Pero tb puede ser que no reconzca al compilador y no este empakado.

Analize un programa hecho en Ada sin empakar, Ada es un lenguaje de programación no muy convecional y la respuesta del peid es:
Win32 PE Unknown
Título: Re:Win32 PE Unknown
Publicado por: dragonballz en 12 Noviembre 2003, 13:01 PM
Gracias por tu pronta respuesta Shoulck

el programa que yo estaba testeando se llama Aare AVI to VCD Converter 3.0  me lo baje para practicar nada mas  lo encontre en tucows
disculpa que te vuelva a preguntar Shoulck  i aber si me das alguna solucion por favor pero sigo teniendo problemas co el W32DASM ya lo tenia instalado y estaba trabajando de maravilla pero ahora  cuando trato de abrir el W32DASM abre pero se vuelve a cerrar como a los cinco segundos  no me deja ni siquiera llegar abrir nungun programa
que crees que podria ser? yo uso windows xp

gracias de antemano Shoulck y todos los crackers ??? ::)

Título: Re:Win32 PE Unknown
Publicado por: byebye en 12 Noviembre 2003, 14:17 PM
creo que se lo que te pasa, si no me equivoco tienes los parches puestos y esos parches tienen un fallo si ejecutas el w32dasm desde un path muy largo el programa se cierra. prueba a ejecutarlo directamente desde c:\carpeta simplemente a ver que pasa. te digo pq esto me pasaba a mi y era eso. = lo tuyo es diferente pero vamos tiene toda la pinta de ser lo que te digo. si fuese eso el problema nopea la llamada a getcommandline y ya podras abrirlo desde la ruta que quieras.

PD: para ser mas exacto el parche que tiene el fallo es el de Harlequin. y sobre lo de win32 PE Unknown, marca en las opciones de peid hardcore scan y veras que se programa esta en delphi   :P
Título: Re:Win32 PE Unknown
Publicado por: dragonballz en 12 Noviembre 2003, 19:51 PM
Gracias Mr. Potato ya mire que el programa esta delphi
ya resovi tambien el problema del W32dasm
lo que pasa que lo tenia en my documentos
pero hice un directorio en C:/W32Dasm lo movi alli y ya trabajo bien gracias de nuevo por sus prontas respuestas  :P ;D
Título: Re:Win32 PE Unknown
Publicado por: byebye en 13 Noviembre 2003, 08:37 AM
parchea la funcion que te dije y lo podras poner en la carpeta que quieras.
Título: Re:Win32 PE Unknown
Publicado por: dragonballz en 13 Noviembre 2003, 08:55 AM
Disculpa mi ignorcia Mr. Potato me podrias explicar poquito mas detallado donde enconcar  la llamada a getcommandline por que despues de que lo cambie de carpeta me volvio hacer lo mismo se volvia a cerrar solo
lo trate de desensamblar con olly
y cuando le doy a F9 me da este mensage (Your program is suspende and can't run. Please resume main tread

aquie es donde empieza el code cuando lo abro en holly

00401000 >   E9 BAE20A00    JMP W32DSM89.004AF2BF
00401005   . C1E0 02        SHL EAX,2
00401008   . A3 5E004B00    MOV DWORD PTR DS:[4B005E],EAX
0040100D   . 57             PUSH EDI
0040100E   . 51             PUSH ECX
0040100F   . 33C0           XOR EAX,EAX
00401011   . BF 1C184D00    MOV EDI,W32DSM89.004D181C
00401016   . B9 AC1F4D00    MOV ECX,W32DSM89.004D1FAC
0040101B   . 3BCF           CMP ECX,EDI
0040101D   . 76 05          JBE SHORT W32DSM89.00401024
0040101F   . 2BCF           SUB ECX,EDI
00401021   . FC             CLD
00401022   . F3:AA          REP STOS BYTE PTR ES:[EDI]
00401024   > 59             POP ECX
00401025   . 5F             POP EDI
00401026   . 64:67:8B16 040>MOV EDX,DWORD PTR FS:[4]
0040102C   . 8915 6E004B00  MOV DWORD PTR DS:[4B006E],EDX
00401032   . 8B42 F8        MOV EAX,DWORD PTR DS:[EDX-8]
00401035   . A3 66004B00    MOV DWORD PTR DS:[4B0066],EAX
0040103A   . 8B42 FC        MOV EAX,DWORD PTR DS:[EDX-4]
0040103D   . A3 6A004B00    MOV DWORD PTR DS:[4B006A],EAX
00401042   . 83EA 04        SUB EDX,4
00401045   . 8915 0C1D4D00  MOV DWORD PTR DS:[4D1D0C],EDX
0040104B   . 83EA 04        SUB EDX,4
0040104E   . 3BD4           CMP EDX,ESP
00401050   . 73 02          JNB SHORT W32DSM89.00401054
00401052   . 8BE2           MOV ESP,EDX
00401054   > 6A 00          PUSH 0                                   ; /Arg1 = 00000000
00401056   . E8 8F6F0A00    CALL W32DSM89.004A7FEA                   ; \W32DSM89.004A7FEA
0040105B   . 59             POP ECX
0040105C   . 68 2C004B00    PUSH W32DSM89.004B002C
00401061   . 6A 00          PUSH 0                                   ; /pModule = NULL
00401063   . E8 A4DB0A00    CALL <JMP.&KERNEL32.GetModuleHandleA>    ; \GetModuleHandleA
00401068   . A3 62004B00    MOV DWORD PTR DS:[4B0062],EAX
0040106D   . 6A 00          PUSH 0

y sigo usando el de la pagina de Shoulk

gracias
Título: Re:Win32 PE Unknown
Publicado por: byebye en 13 Noviembre 2003, 09:13 AM
no es ese el problema. lo acabo de bajar y no tiene el parche que digo y tampoco da problemas abriendolo desde cualquier carpeta (no en mi pc). la verdad no se que te puede pasar.
Sólo texto | Texto con Imágenes