Mensajes

Gracias por el link. Segun veo en el indice el tema del unpacking acaba en el capitulo 55 así que ya que me pongo.... total... cuanto tiempo me puede llevar empollarme eso? un mes?? como mucho.... tampoco tengo prisa así que jejeje

un saludo

Lo siguiente que toca es corregir la IAT, lo que no tengo muy claro es si siempre que se llama a una api se hace con jmp dword.... o si también se puede llamar con call. Ayer me tire media hora dandole al f7 y traceando y no llegue a nigún jmp dword y me fuy a dormir ya por aburrimiento.

En fin, a ver si tengo una noche libre y me pongo a verlo mas detendiamente todo.

Un saludo.

Bien bien, te felicito.Ya nos queda menos.
En mi pobre opinión como aprendiz, más bien perro viejo, (jejeje, ya veo a más de cuatro riéndose), es que estamos ante un protector, dentro de la escala de los difíciles, de los más fáciles.Y por este motivo, este hilo podría hacerse bastante largo.
Todas esas zonas de llamadas que intentas trazar con F7 te pueden llevar a la tumba.Está todo ofuscado a propósito, para derrotarnos por aburrimiento.Si te has leído al completo el tutorial que te aconsejé, entenderás como lo hace para conseguir entrar en la API correspondiente del kernel "sin ser visto", por el cracker de turno.
Yo también estoy en ello, porque ahí lo abandoné.No fuí capaz de conseguir un desempacado funcional en su día.Ahora en el poco tiempo libre de que dispongo voy a seguir indagando.Por las anotaciones que tengo, me quedan dos API's dudosas que resolver y posteriormente hacer que las call's se dirijan a las API's en cuestión.
Que la fuerza nos acompañe amigo.

Mintaka

Bien, en el tutorial el tio va traceando con f7 hasta llegar a la llamada de una api, luego mira el registro de memoria para ver donde empieza la iat y donde termina. El caso es que en este caso por mucho que le des a f7 no se en que punto intenta entrar en la iat. He llegado a

00B9128C  |. FF15 2812BF00  CALL DWORD PTR DS:[BF1228]

que es donde da la primera excepción. Que digo yo que la excepcion la dará porque intenta acceder a una api que en realidad está ofuscada y al no encontrarla peta y el programa muere.

Intento mirar la parte de memoria de bf1228 pero ni iat ni leches XD

creo que me he vuelto a perder jejejeje

Efectivamente es como dices. El problema que me encontraba y que corregi ayer fue que usaba el lordpe para volcarlo a disco. No se cual es la razón pero se ve que no lo volcaba todo desempacado por eso al mirarlo con peid me seguia diciendo que estaba empacado.

Hice la prueba volcandolo con el metodo 2 de ollydump y ya me dice que es visual c++

Lo siguiente que toca es corregir la IAT, lo que no tengo muy claro es si siempre que se llama a una api se hace con jmp dword.... o si también se puede llamar con call. Ayer me tire media hora dandole al f7 y traceando y no llegue a nigún jmp dword y me fuy a dormir ya por aburrimiento.

En fin, a ver si tengo una noche libre y me pongo a verlo mas detendiamente todo.

Un saludo.

Si, ya he llegado al OEP pero sigue sin gustarme el asunto. Llego al OEP y lo vuelco todo a disco con el lordpe. Se vuelca y cambio el punto de entrada según el OEP que he pillado en el olly.

Hasta aqui bien pero lo que no me gusta es que el exe sigue ocupando muy poco, 500 kb mas solo respecto al original y luego que el que ya está desempacado, aun no teniendo la iat arreglada si lo analizo con el peid me sigue diciendo que está empacado. Quizas me lo diga porque la sección .svkp la sigue teniendo y es el metodo de analizar este empacador.

Voy a ver si hago unas pruebas con el exe a ver que pasa.

Gracias por todo, la verdad es que eso de tener que esperar a que llegase a ejecutar y no a escribir no lo sabia para nada.

Siguiendo el tutorial.

Inicio el programa, cuando llego a la tercera excepcion en fffffff... pongo un bpma en la sección .code, ejecuto, se para en un bucle, quito el bpma, pongo un bp fuera del bucle, ejecuto el programa, se para fuera del bucle, quito el bp y vuelvo a poner el bpma en el .code, ejecuto y se queda aqui:

5139bf1...66:.....mov word.....

Se supone que eso debería ser el OEP segun el tutorial y ya sería volcarlo de memoria a disco, reparar la iat (cosa que me da miedo despues de lo que me acabas de decir XD ).

Claro está que ese punto el 5139bfa no tiene pinta de OEP, es mas, si haces el dump aun no siendo funcional el exe al analizarlo debería decir que no está empacado, pero sigue diciendo que nada, que está empacado así que eso significa que aún no he llegado al OEP, por eso dudaba entre si era el primer .code o el segundo.

Voy a intentar tracearlo un poco y ver si llego al OEP. Tampoco tengo prisa, si veo que me viene un poco grande lo de desempacar esto pues me metere a algun proyecto mas pequeño y aparco este durante un tiempecillo.

Bueno, voy a seguir machacando este pequeñin a ver si saco algo en claro. Muchas gracias otra vez por guiarme

Bueno señores, después de varias pruebas y tal he seguidos el manual.

Como dices Mintaka hay un bucle, pongo un bpma en .code y trasca salta a 51A9519 si pongo el bpma en el segundo .code y en otro sitio aun mucho mas raro que no es ni de coña el OEP si lo pongo en el primer .code (hay dos secciones code).

Claro está que como ese no es el oep pues no se ha desempacado y aunque haga un dump al analizarlo me sigue diciendo que está empacado.

A parte algo curioso, al abrir el tcad.exe con el olly me sale como que el  tcad está ejecutado, me sale una ventana de msdos... no tengo muy claro el porque...

Voy a seguir probando a ver si llego al OEP y ya os digo algo.

Un saludo

Joe, veo menos que un gato de yeso.La release que estuve trasteando fue la R4 de la v3.3 y el ejecutable tcad.A lo que vamos:
Llegue al OEP siguiendo el metodo usado por SHOULCK en este tute:

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/101-200/164-Desempacando%20SVKP%20por%20SHOULCK.rar

Con la ayuda del Olly parcheado para encontrar OEP (gracias a Ricardo Narvaja), una vez pasado el bucle que dice el tute y parado en el RETN solo debes poner un BPMA en la sección CODE.Tarda un buen rato pero al final se clava en el OEP.
A partir de aqui ya sabes, volcar a disco, corregir IAT......bla,bla,bla.
Lo volvere a instalar, pero ya tienes algo para entretenerte.

Mintaka

Pues como bien dices el ejecutable principal es tcad.exe. Muchas gracias por el links este que has puesto, el sabado por la noche en mi rato libre probare a ver que sale (seguro que me atasco en cualquier chorrada, como siempre)

Ya os contare si lo hago correr desempacado. Gracias

Tio si el nombre del software lo dije en el segundo post. Se llama ____, version 3.3

la web del fabricantes es http://www.google.es/es/

Es que tampoco quiero dar pie a que cierren el post, que ultimamente está la cosa muy mal con el tema de que hay mucha gente que pide cracks y por lo de la ilegalidad.

De momento yo estoy investigando el empakado no el arranque en si del software ni la funcionalidad, eso ya mas adelante si me pica el tema.

Tengo que decir que otro de los problemas es que no tiene entorno gráfico,  vamos es un software de diseño grafico, tiene entorno grafico pero no es windows. Otra dificultad añadida es que es modular, unos exes llaman a otros exes.

En fin, le hechas un vistazo y me das ideas de por donde atacarlo

Gracias

Hombre he visto algun tutorial sobre ese empacador, pero para la version 1.4x no se si 1.43 con olly.

El software en si yo lo tengo legal totalmente, con su licencia y su mochila, usa una aladin eye.

El tema de desempacarlo es porque me parecio curioso que no fuese el tipico aspack ni armadillo ni asprotect y digo lexe habra que ver que es y ya me puse a ver.

Sobre emulación pues es otro experimento que se podria probar pero no hace falta desempacarlo para emular la mochila, no? todo es probar, total, no salgo los fines de semana y me aburro jejejeje.

Lo de ponerlo.. chungo al ser software licenciado y toda la leche esa supongo que estaría incurriendo en un delito por colgar el software de todas formas todos conocemos las mulas y tal y está perfectamente con fuentes. La version hackeada que hay es la 3.1. La 3.2 y la 3.3 que yo sepa es la que nadie ha podido hackear aun y me parece raro, con la de gente lista que hay que nadie haya sacado un crack para ese software.

Si os aburris y quereis probar al menos para mi está siendo todo un reto el programita este, se han currado la protección, claro que yo tampoco soy ningún experto.

Un saludo

Hola a todos. Bueno sigo con el proyecto de desempakar, que no crackear, el programa este, me parece un poco raro, no he encontrado nada de info de esto. Por un casual alguien sabe algo?????