Mensajes

recontraaaa   lo veo y no lo creo tan facil era de desempacar 

- Pues hice tal cual como me dijiste, claro tildando todas las excepciones porque ese metodo que vaa xDD
y llegue a la OEP que me marcaba el PEID

- luego con el import recontructor puse el valor para reparar IAT, importando todo y todo OK

- Revise por dentro con Pe Explorer y se puede acceder todo, solo que a ti te quedo mas pequeño el dump que el mio xD, hiciste alguna limpieza adicional por lo que veo


- Ahora viene la pregunta que ha pasado ¿porque me ha fallado la identificacion del packer? ¿como estar seguros de que estamos con el packer correcto, claro tambien ayuda conocer la estructura de cada uno xD? ¿el peid y RDG packer detector tienen errores y no hay que fiarse?

- Lo de la DLL no me habia fijado pero si tiene Asprotect + PEcompat o aspack bueno tambien lo vere tambien sirve para practicar xD

- De cualquier forma muchas gracias por la ayuda y usaste una tecnica digana de todo ingeniero, porque el ingeniero busca el camino mas facil y lo hais hecho.

[En la imagen de a continuacion pongo la deteccion del packer y la OEP]

Este primero que todo un cordial saludos a la comunidad, resulta que este packer me ha dado problemas porque he usado varias herramientas para intentar descomprimirle pero todas me han fallado:

- DecomaS / Codedoctor(del ollydbg que me funciono con un crackeme) / Generic Unpack 0.5 Sin resultado favorable.
- Ya mire esto http://ricardonarvaja.info/WEB/buscador.php me descargue algunos
- ASProtect 1.2x Plugin de Ollydbg me da error, lo extraño es que funcionanaba cuando dejaba la carpeta de plugins vacia, solo con esa, si le agragaba cualquiera al azar daba error, de hecho le use porque en un tuto especificaba su uso pero nada que ver xD
- Uso Windows XP SP3 obviamente desactivo el antivirus para estas cosas
- Por la razones de arriba toca recurrir al metodo manual siguiendo tutos claro este, escepto por las dudas que se me generan y cosas que me sacan de onda.
- Uso el clasico Ollydbg 1.10 con el IsDebugPresent porque sin el me detecta del Debugger y no hago nada, ademas de tener el Ollydump, comandbar y demas

En la imagen de a continuacion pongo la deteccion del packer y la OEP



En la primera arrancada sin ejecutar nada me sale esto, que segun muchos tutes es la estructura clasica del asprotect



Si traceo un poquito con F7 llego a esto, aunque quizas no sea valido para este tipo de packer pues solo por intentar


En mi caso decidi usar este tute bueno ya revise varios usan el procediiento ese de las excepciones http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1043-Destripando%20el%20Asprotect%201.23%20del%20Aspack%202.12.pdf (Este porque es el mas explicado aunque ya he visto varios)

F9 >=> Shift F9 Veces hasta la ultima excepcion, el Shift F7, El BPM hasta llegar al supuesta OEP
Pero para mi mala suerte luego de eso no llegue al OEP? porque pasa eso :S ... quizas el metodo que use no sea el mas eficaz porque solo me tira 2 excepeciones, a claro que destilde todas las casilla de Opciones => excpeciones excepto la de kernel32 ... OSea Uso el metodo de las excepciones cuando este no genera casi nada xDDD



Este es otro Tute que consegui de ArikA en su estudio completo del desempaquetador aspack 1.23 http://ricardonarvaja.info/WEB/OTROS/AKIRA%20TODO/10.%20Estudio%20completo%20del%20empaquetador%20Asprotect%201.23.rar

- Trace como la imagen de arriba(Donde esta el PUSHAD) siguiendo luego los pasos

Vale, ya conocemos el procedimiento, vamos a esp, pinchamos con el derecho y ponemos folow in dump

A continuacion vamos a la sección dump pinchamos en el primer byte y ponemos breakpoint hardware on access – dword.

Damos a run y despues de una rutina IsDebuggerPresent, unas excepciones( pasamos con shift+f9) y de un cuadro de dialogo , saltamos a una instrucción popa y despues vienen  un mov 401000 a eax, push eax y retn

Y por ultimo el programa por si le quieren echar una miradita

http://www.mediafire.com/?84sfzjrl5eb9fr5

- El caso tambien es que de un modo u otro no logro llegar siquiera a la OEP que me arroja el plugin de Peid o algun rastro de la IAT

Este Sin mas que decir a ver que estoy haciendo mal xD, quizas mi error este en que tenga mucho tiempo sin repasar no habia tocado nada desde hace time pero si puedo descoomprir con el Ollydbg en menos de 1 min UPX y Aspack aunque eso lo hace cualquier principiante como yo xD ... quizas me este metiendo a la candela muy rapido y por eso me tranque un poco, pero una ayudadita no vendria mal, Saludos xD

Un consejo, Para bajar programas es mejor desde los foros, ya que ares no hay garantia que esten limpios

Yo he usado ares y jamas se me ha infectado la PC, porque??

Porque me fijo en las extensiones si voy a bajar musica la misma debe estar en formato MP3, wma, wav y si es un video AVI, wmv, mp4, rm etc
Si una cancion esta con extensión EXE, COM, BAT es obvio que eso es un virus, porque los que usan esas extensiones son virus

Cuando uno baja un video o musica y la misma te dice que se tiene que descargar unos codesc para funcionar bien di que no y borra la cancion(ya que es alli donde insertan los falsos codesc envirulados), mejor bajatelos aparte o por tu cuenta(los codesc)

Saludos!!!

[Desempacar PECompact 1.68-1.84 de una DLL]

Bueno dejo el tute del registro..

http://www.mediafire.com/?a8l1aqaxauffixh

slds

Aunque no estoy interesado para nada en el programa de  fperea, resulta interesante la metodología que usaste para desempacar esa DLL
Y lo de diseñar una medicina para el programa me sirve de cultura general

Ahhh!

Le cambié el nombre al tema: Se llama ahora Desempacar PECompact 1.68-1.84 de una DLL y edité algunos post que contenían información que no es relevante publicar...

Fprea no creo que haya sido bueno borrar el enlace para descargar el programa, porque el tutorial esta basado en el Ev4ls.1_3

Si quieres sube el programa a mediafire o megaupload con otro nombre si es eso lo que te preocupa y todo eso para que el tute sea completo

Editado: aqui esta todo el material del post PDF, DLL, Setup.EXE http://www.mediafire.com/?q0cx45xud5ztxa4 junto con el programa
Aqui esta el programa Topo v1.2 http://www.4shared.com/file/72263364/4fecbcc6/Topo_12.html

Gracias a MCKSys y especial a tena por la especial dedicación al tema, aunque la ayuda no sea para mi

Saludos!!!

Buenas

El archivo al que está intentando acceder está temporalmente desactivado.

Aqui subi una mirror http://www.multiupload.com/D2Z585OUSY

A mi tambien me sale que esta temporalmente deshabilitado

Saludos!!!

[y de esa manera anailizar cual es el camino mas corto]

Yo orita estuve pensando un poco la cuestion que me mencionaste

Código [Seleccionar] Expandir

02C3B004    push 2CD7BB8                            ; ASCII "Project64"

Tambien me esta pareciendo buena idea averiguar que camino toman las versiones anteriores de project64, para que no aparezca en el selecionador de plugins cosa


Aqui esta el codigo fuente del Mupen64 0.5 ==> http://www.multiupload.com/AAOXTR8Q92
Aqui esta el codigo fuente de la versión Project64 1.4 ==> http://www.multiupload.com/E5E7BJ60VX
Aqui esta projec64.exe Ver 1.4 ==> http://www.multiupload.com/2J3SL07WU8

Esto tambien es una de las rutinas que intervienen en el proceso




Y pues si la veces que busca las rutinas en el project64 son varias y si se buscara inyectar esas subrutinas dentro del mismo plugin con los cambios correspondientes podria servir, ahora la pregunta en donde inyectar esas subrutinas pues en lugares que esten en des-uso por ejemplo donde se ubica la subrutina DllAbout O en donde se ubiquen las rutinas de error

Inyectar una Dll Que emule todas esas rutinas que deba hacer el project64 podria ser otra solucion, http://foro.elhacker.net/analisis_y_diseno_de_malware/asmc_inyeccion_dll-t307257.0.html, claro que antes hay que descifrar como funciona todo esto

Pues si eso de lograr que aparezca la ventana de DllConfig sin errores, en Mupen64, ya que el valor antes de la CMP antes que aparezca el famoso msgbox, lo asigna el emulador, de todas maneras dejame ver si subo la primera versión del emulador y primera versión del plugin en la cual se produjo el sistema de bloqueo y porque No subir la ultima versión del plugin que soportaba todos los emuladores, para incluirlos en el analisis y de esa manera anailizar cual es el camino mas corto

Bueno aqui esta El P64 1.4 + las versiones de los plugins que te mencione, la ultima en ser compactible y la primera que dejo de ser compactible con el resto de los emuladores

Incluye todas las descargas que mencione arriba, para no descargarlas 1 por 1

http://www.multiupload.com/KYDG8137OU

[(Wininet.dll)]

Antes de poner a revisar el tema y los buenos consejos que mes has dado

queria mostrarte esto

La versión 1.7.047 es la ultima versión compactible con todos los emuladores de N64
Pero tiene un sistema de protecion en linea(Wininet.dll), que se soluciona con suma facilidad (Nopeando un salto asi de facil jeje)
Sino se quita la protecion en linea, a los pocos segundos de iniciar el juego te saca una ventana de error y se cierra el juego



En La versión 1.7.048 dejo de ser compactible con el resto de los emuladores, pero que casualidad que ya no usa la libreria WiniNet.Dll(Libreria que accesa internet), claro le quitan el sistema de protecion en linea y le bloquean el uso en otros emuladores(tema el cual me gustaria investigar), porque en la pagina oficial dijeron que seria compactible despues que finalice el periodo de la Beta(otra de las varias razones, mas para pensar que si se puede desbloquear el plugin)


La versión que estamos analizando durante el post es la 1.7. 057(porque la ultima versión), pero si fuese mejor analizar una versión mas antigua de repente es mas facil la cosa, porque puede que el programador haya perfecionado la tecnica

Y Esto es lo que ocurre si intento cargar el plugin con el Project64 1.6, nisiquiera se muestra, a pesar de que el plugin esta en su respectiva carpeta, otro misterio mas por analizar
Pero el Emulador 1964 si lo reconoce, otra curiosidad mas



Leyendo el mensaje de karmany y analizando..............Luego edito.....Saludos!!!

Como soy novato en estas cosas, me puede servir para practicar

Es mas hice un escaneo rapido(2 min) y con nopear 1 y colocar un JMp se parchea perfecto y le entra cualquier serial o ninguno
Yo lo consideraria entre nivel basico-intermedio(mi punto de vista, talvez este equivocado)

Claro la realidad esta en averiguar que hace con los caracteres que uno le ingresa que le suma que le resta etc... para descubrir el serial y descubriendo como se crea solo es cuestion de programar el keygen y listo

Flamer, gracias por dedicarle tiempo para crearlo para los aprendices, saludos!!!

[Direct3D8]

en vez de nopear, cambia el MOV DWORD PTR DS:[100C39A4],xxx, para que se mueva a dicha dirección el valor 1, ya que las comparaciones por 0 son las malas, cuando se compara por 1 debe ser el valor idoneo según se ve en otras comparaciones de las expuestas por MCKSys.

como a la dirección 100C39A4 se mueve por ejemplo el valor de EAX en ese momento, intenta previamente poner a EAX con el valor 1, por ejemplo con

XOR EAX,EAX        ; pones EAX a cero
INC EAX                ; incrementas el valor de eax en 1, 0+1= 1
MOV DWORD PTR DS:[100C39A4],EAX

Tambien prueba a sumarle 2, ó incluso a mover el valor FF, pues segun las comparaciones posteriores puede que necesite valores superiores a 0 ó 1 (o valores negativos -FF)

Por suerte donde aparece los primeros MOV añadi otro MOV arriba

MOV EAX,1
MOV DWORD PTR DS:[100C39A4],EAX

tambien intente con MOV EAX,0 y MOV EAX,-1 antes de eso y nada si pruebo un juego en el proj.ect64 1.7 funciona apesar de que tuvo que sacrificar 2 intruciones mas arribas de eso, pero sigue saliendo la misma ventana

Ahora hablando del tercer MOV, si modifico antes no funciona ni la ventana, ni el juego, claro el projec.t64 1.7 abre, pero en el Mupen 64 sigue apareciendo la mis ventana de Direct3D8

El caso es que es dificil hacer que aparezca la ventana de configuración del plugin en Mupen64 y el que aparezca la ventana de error de Direct3D8 en el Proje.ct64 1.7 tambien por ese lado pasa que sigue sin aparecer la ventana

Si por ejemplo yo obligara que 100C39A4 que valiera 0 la ventana de direct3d8 tampoco aparece en el Projec.64 1.7 antes de los 3 MOV eso es como raro???

----------------------------------
----------------------------------

Eso me hace pensar que de haber algo que modifique la direccion 100C39A4 antes o despues y ese algo podria ser el mismo emulador digo?? para ve que ocurre con el emulador proje.ct64.exe modifique esto para ver que pasaba

(OJO esta captura es del emulador EXE)
hasta incluso con una sola letra, ejemplo una k el emulador tambien
Y cuando hago ese cambio y busco cambiar la configuracion grafica no abre ninguna ventana por mas que lo intento, ah pero en el mupen64 si saca la ventanita???
Con ese cambio en el emulador puedo jugar normalmente con otros plugins, menos con el bendito plugin

Quise averiguar que ocurria si colocaba todo en cero

(OJO esta captura es del emulador EXE)

Y con eso siquiera carga el emulador, solo se queda colgado en memoria y la unica forma de verlo es con el administrador de tareas

Yo quiero darte henryxs87 mi punto de vista: mira en la primera imagen que has puesto te sale el mensaje "initialize the dll before you try config it!". Es fácil saltarlo y seguramente si modificas todos los saltos te funcione pero... yo me preguntaría ¿por qué narices sale ese mensaje? ¿realmente es una protección a posta del programador?

Mi opinión es que tal vez deberías indagar un poco más con ese mensaje. Fíjate está diciendo que no configures el plugin porque todavía no ha sido inicializado. Podría ser verdad. Por eso también es posible que se haya colgado el programa. Tal vez la protección real haya sido que ha saltado por alto la subrutina de inicialización. ¿Por qué? PUes esto es lo que hay que buscar.

Con un editor de PE cualquiera puedes examinar dónde se encuentra esa subrutina. Puedes ponerle un bp y ejecutar el programa desde el emulador project a ver de dónde es llamada y después haces lo mismo desde el otro emulador y comparas a ver...

Yo es que primero iría a ver por qué sale el mensaje no lo evitaría directamente sin saber por qué...
Saludos

En verdad gracias por el punto de vista, mientas mas ayuda reciba mejor

Lo que ocurre es que elegi comenzar por alli fue porque es la primera ventana que sale al intentar abrir el plugin en el caso del Mupen y en el otro emulador si se cumple la condicion saca la ventana que deberia(la de configurar la parte grafica) y como todo ta de una vez junto

Si vez el primer mensaje que puse en la 2 y 3 era captura se puede ver que aparecen casi todos los elementos de las 2 ventanas para ambos emuladores, por eso me parecio bien comenzar por alli

Y si cambio el JZN por un JE(que esta en las primeras capturas que puse), las ventanas del emuladores se invienten, la que salia en uno sale en el otro y viceversa

Lo del editor PE la verdad que no se de que manera me podria ayudar, pero mas o menos pude deducir que te refieras a esto, creo??
Con eso se pued visualizar muchas de las ventanas que mustra el plugin, pero la ventana que aparece en el mupen no se relaciona con ninguno de esos valores
Pero claro mas o menos con los nombres se podria deducir, que DLLConfig es la que mas se relaciona con esa rutina

en el resto de la ventana del LORD PE sale esto

Código [Seleccionar] Expandir

->Export Table
  Characteristics:        0x00000000
  TimeDateStamp:          0x495BED80  (GMT: Wed Dec 31 22:09:04 2008)
  MajorVersion:           0x0000
  MinorVersion:           0x0000  -> 0.00
  Name:                   0x000BDAD8  ("Jabo_Direct3D8.dll")
  Base:                   0x00000001
  NumberOfFunctions:      0x00000018
  NumberOfNames:          0x00000018
  AddressOfFunctions:     0x000BD9E8
  AddressOfNames:         0x000BDA48
  AddressOfNameOrdinals:  0x000BDAA8

  Ordinal RVA        Symbol Name
  ------- ---------- ----------------------------------
  0x0001  0x0000A940 "CaptureScreen"
  0x0002  0x000083E0 "ChangeWindow"
  0x0003  0x00007EA0 "CloseDLL"
  0x0004  0x0000A530 "DllAbout"
  0x0005  0x0000A5A0 "DllConfig"
  0x0006  0x000080A0 "DrawFullScreenStatus"
  0x0007  0x00007FB0 "DrawScreen"
  0x0008  0x00008010 "GetDllInfo"
  0x0009  0x00007F80 "GetRomBrowserMenu"
  0x000A  0x0000ADD0 "InitiateGFX"
  0x000B  0x00008060 "MoveScreen"
  0x000C  0x0000BD10 "OnRomBrowserMenuItem"
  0x000D  0x00008050 "PluginLoaded"
  0x000E  0x000080C0 "ProcessDList"
  0x000F  0x00008290 "ProcessRDPList"
  0x0010  0x00008930 "RomClosed"
  0x0011  0x0000B0C0 "RomOpen"
  0x0012  0x00036640 "SetSettingInfo"
  0x0013  0x00036670 "SetSettingInfo2"
  0x0014  0x000083B0 "ShowCFB"
  0x0015  0x00008320 "SoftReset"
  0x0016  0x0000A760 "UpdateScreen"
  0x0017  0x00028680 "ViStatusChanged"
  0x0018  0x000083C0 "ViWidthChanged


No entendi muy bien de que manera que puede ayudar Lord PE y eso de que debo colocar los breakpoints desde el emulador, si el breakpoint deberia colocarlo en la Dll y el problema es que si cargo la DLL directamente desde Loaddll.exe no se ejecuta como deberia para marcar los breakpoint y que almenos pase por algunos de esos puntos

La unica forma posible que encontre para tracear en la dll es usando "New origin here" desde un punto anterior a lo que quise analizar

Bueno ya dije mas menos lo que pude analizar, Saludos!!!

[Editado]

EL problema de colocar Breakpoints es que el loaddll.exe no pasa por ninguno de esos puntos lo que hice fue NOPEAR los 3 MOV de todos lo que accesan 100C39A4
Si fuese posible ver los movimientos de la DLL cuando se esta ejecutando cualquiera de los 2 emuladores seria bueno
Si la DLL fuese un exe seria mas facil porque podria tracear normalmente

MCKSys estos son los mismas referencias que me mostraste arriba solo que nopee los 3 MOV


Y fue la unica forma de obligar a que saliera esta ventana, NOPEANDO los 3 MOV


Ya que si bloqueo uno por uno Solo, NO sale esa ventana que muestro arriba o sale la ventana de abajo de error Direct3D8(ver mas abajo) o la normalita que debe salir(esa donde uno configura el plugin para el juego)

Ahora si solo NOPEO el ultimo MOV sale esto(notese que ya quite los otros 2 NOP, en comparación con la ventana anterior)



Pero en el Mupen64 sigue saliendo esta ventanita apesar de que ya NOPEE los 3 MOV y tambien sale de igual forma si solo NOPEO el 3 MOV de los que me mencionaste arriba, cosa que no sale en el Proj.ect64


Eso me hace pensar que la ventana Direct3D8 iniciateGFX error sale despues que evalua la condicion de salto JZN, porque sino se hubiese visto en el emulador

Ok sabiendo eso pues hice esto NOPEE los otros MOV de arriba y el Projec.t64 abre normal



Pero en el Mupen sigue saliendo otra vez la ventana que no quiero que salga, bueno ya esta arriba(en la ventana con la M azul que dice mupen64), para que repetirla xDD

Ha otra cosa tambien justo antes de los MOV que me mencionaste tambien probe con cuestiones asi
Para obligar que en 100C39A4 adquiera otro valor
INC EAX
INC ESI
INC EBX
Y nada que conseguí desaparecer esa ventana en el mupen, pero en el porjec,t64 tan solo sigue saliendo y en otros cambios no abre ninguna ventana

Cuando logro que el projct64 no salga ninguna ventana en el Mupen64 sigue apareciendo la misma ventanita.

Editado

Ahora que lo veo En el primer mensaje que postee justo abajo de la cara de mario, donde esta la ventana de ollydbg, donde hago notar que dice Projet64 2.0 resaltado en verde, eso despues de ciertas operaciones matematicas se guarda en algun registro de la memoria, que luego utiliza la DLL para comprobarlo y luego decidir si se deja utilizar o No ó mejor dicho que no aparezca la ventana que ya hemos visto durante el post, que ojala exista alguna manera de que responda de otra manera