Mensajes

Bueno,
Probe de nuevo el proceso de hacer el fix dump en el imprec. Y efectivamente si me genera bien el exe (talvez cuando lo hice anteriormente me equivoque en algo). Lo que me pasa ahora es que si ejecuto ese exe y quito la llave siempre aparece que hace falta la mochila.

Seguire probando y reportando mis avencas.
Gracias Karmany, que ha sido el unico en ayudarme en este tema.

[Entonces la conclución de esto es que si el call me lleva al mismo exe PCX1000.XXX no estoy en una libreria referenciada.]

1º) La IAT con OllyDBG no lo estás haciendo bien o no entiendo cómo lo estás haciendo porque:
00408088  push eax;  PCX1000.008B0EB8
no es un salto a ninguna función, salta al mismo exe, entonces no puede ser...
Entonces la conclución de esto es que si el call me lleva al mismo exe PCX1000.XXX no estoy en una libreria referenciada.

2º) Con IRec: "no aparece ninguna entrada inválida, solo aparecen 573 entradas que son válidas"...
-De eso se trata... ¿por qué no pruebas cuando tengas todas válidas a pulsar en "Fix Dump" y seleccionas tu dumpeado?
Esto intente hacerlo pero al darle fix dump y ejecutar el archivo, no se ejecuta. Solo sale un mensaje de error.

He estado revisando algunas cosas en el programa que quiero liberar de la mochila.
Tengo la hipotesis de que a pesar de que el programa usa la mochila, este no está cifrado. Es esto posible?

El RDG packer detector me saca esto.



Que piensan?

L30AR Ya encontraste alguna solución, como vas?

[Encontrar OEP, ok creo:]

Creo que estoy perdido de nuevo, el programa con la mochila no se comporta como en las guias que tengo, al menos eso es lo que me parece, talvez la mochila es muy nueva y se comporta diferente.

Lo que veo raro es lo siguiente:

Encontrar OEP, ok creo:
1. He encontrado el OEP, con la técnica de break on access de Olly en la sección code, y lo he confirmado con el OEP Finder y la dumpeo.

Encontrar la IAT
Lo intento de 2 maneras.

2A. Econtrar la IAT con olly
Luego de esto intento encontrar el inicio de la IAT con Olly, poniendo un break en el siguiente call (CALL PCX1000.00408088) despues del OEP, ese call me lleva a la direccion (00408088  /$  50  PUSH EAX;  PCX1000.008B0EB8) le doy "follow in dump"-> selection y en la ventana de dump doy long->Address y me aparece (00408088  E8006A50) addres, value, pero comment vacío. Hasta aqui no se cómo saber en que sección estoy.
Aunque no se en que sección estoy le doy Ctrl+R para buscar las referencias y me aparece esto:
References in PCX1000:CODE to 00408088..00408088, item 0
Address=008B1C27
Disassembly=CALL PCX1000.00408088

Solo una llamada, que fue con la que iniciamos. De aqui no se que hacer para encontrar la IAT.

2B. Encontrar la IAT con Imp Rec
Abro mi programa
Ahora abro ImpRec, y busco el proceso, me sale automaticamente mi OEP (con el RVA). -> IAT Auto Search->Get Imports -> Show Invalid
y no aparece ninguna entrada inválida, solo aparecen 573 entradas que son válidas.

Estaré haciendo  algo mal? estoy atorado, cualquier guia a partir de este punto será muy util.
Gracias por la colaboración

Para darle seguimiento a lo que he estado haciendo en estos dias con este hasp.

Utilice el link que dejo karmani OEP Finder
http://www.tuts4you.com/download.php?view.396
para que me indicara el OEP

Uso el OEP Finder para encontrar un OEP, Luego intento utilizar una herRamienta llamada Import Rec para encontrar la IAT, sin embargo cuando ingreso la primera direccion que me muestra el OEP Finder, el Import Rec me dice que no puede encontrar la IAT con ese OEP.

Si utilizo el siguiente OEP que me da el OEP Finder resulta que el Import Recencuentra la IAT, pero me muestra 9 entradas invalidas y nada valido.

Por otro lado tambien intenté dejar la dirección que me muestra Import Rec al abrirlo. Lo que sucede cuando hago esto es que, si encuentra una IAT, y al ver entradas me muestra llamadas a varias librerias pero no me muestra ninguna entrada válida.

En resumen lo que me pasa es lo siguiente:

1. Usando el OEP de OEP Finder -> Import Rec no encuentra la IAT
2. Usando el segundo y demas OEP del OEP Finder -> Import Rec encuentra IAT, pero solo entradas invalidas.
3. Usando el OEP que muestra Import rec al inicio -> Encuentra la IAT, pero solo salen entradas válidas.

Si alguien tiene alguna sugerencia lo agradeceria en cantidad.

Hola yo estoy en las mismas asi que es posible nos ayudemos juntos.


Yo con el link que dejo karmani
http://www.tuts4you.com/download.php?view.396
baje esa aplicacion y me indica un OEP

Luego intento utilizar una heramienta llamada Import Rec para encontrar la IAT, sin embargo cuando ingreso la primera direccion que me muestra el OEP Finder, el Import Rec me dice que no puede encontrar la IAT con ese OEP.

Si utilizo el siguiente OEP que me da el OEP Finder resulta que según el encuentra la IAT, pero me muestra 9 entradas invalidas y nada valido.

Por otro lado tambien intenté dejar la dirección que me muestra Import Rec al abrirlo. Lo que sucede cuando hago esto es que si encuentra una IAT, y al ver entradas me muestra llamadas a varias librerias pero no me muestra ninguna entrada válida.

En resumen lo que me pasa es lo siguiente:

1. Usando el OEP de OEP Finder -> Import Rec no encuentra la IAT
2. Usando el segundo y demas OEP del OEP Finder -> Import Rec encuentra IAT, pero solo entradas invalidas.
3. Usando el OEP que muestra Import rec al inicio -> Encuentra la IAT, pero solo salen entradas válidas.

Si alguien tiene alguna sugerencia lo agradeceria en cantidad.

Gracias Karmani.
Entonces lo primero que tengo que hacer es encontrar el OEP. Segun el RDG Packer Detector el programa fue compilado en Borland Delphi 6 o 7, estuve buscando en el foro y google cómo encontrar el OEP pero no encuentro nada.
Si alguien sabe donde puedo encontrar esta información o darme un punto de inicio, lo agradecería un montón. De momento seguiré buscando e iré publicando aquí cualquier avance que pueda ser de utilidad para otros posteriormente.

Hola a todos, primero quiero felicitar a todos los involucrados en este foro, realmente se mira la cantidad de esfuerzo y trabajo que hay aqui para poner todos estos recurso a nuestra disposición.

Tengo un programa que compre que utiliza una mochila Aladdin Hardlock, pero no quiero tener que poner la mochila cada vez que lo utilizo. Asi que voy iniciar el proceso para liberar el programa de la mochila.

No se x donde empezar con esto, y este es el lugar donde estoy parado:

1. Se un poco de assembler pero hay algunas cosas que tengo que recordar.
2. No tengo nada de xperiencia en ingenieria inversa.
3. Estuve siguiendo unos tutoriales de mochilas hasp, pero me quedo en el aire con conceptos como encontrar el OEP (no se como encontrarlo), y arreglar la IAT que no se que es.

Por donde empiezo?, espero su ayuda y gracias.