Mensajes

aspack y asprotect son de la misma compañia, por ende pueden usar los mismos procedimientos, pro otro lado hay aspack comienza con pushad, termina con popad y un salto al oep, asprotect no, trabaja con una dll interna y puede como no puede trabajar con aspack
ejemplo:
http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1172-Desempacando%20al%20protegido%20de%20aspack%201.1.pdf.7z

aqui creía fielmente aquella vez que era primeramente aspack y termino siendo asprotect, una version muy básica pero lo era

si no has leido el faq, pasa por ahi(a primera vista eso no es el oep)
sigue leyendo de aspack y de asprotect buscando esas palabras claves en :
http://www.ricardonarvaja.info/WEB/buscador.php


lo que hace and addd sub es ir agregando y restando valores(de paso con ello ayudando para encontrar alguna tabla del exe o dll cercana a los valores que vea


si fuera por motivar que no aprendas, existen unpackers para aspack y asprotect, pero el cracking siempre es algo adicional, luego del desempacado ^^
saludos Apuromafo

posiblemente fue hecho con
http://www.javascriptobfuscator.com/default.aspx
web para decodificar:
http://jsunpack.jeek.org/

respecto a amaggedon, si bien existe la 2.0 (privada) hay una estable y pública
Funciona bien en sistemas operativos de xp ^^
http://www.accessroot.com/arteam/site/download.php?view.262
saludos Apuromafo

Hola, un saludo, que no te aparezca la version a ya es algo extraño, puedo orientarte,pero es dificil que vuelva a depurar algo por acá

necesitaré algunos datos extras como tu sistema operativo

Respecto a el salto mágico , pasa que armadillo es un poco trickiñuelo, existen a lo menos 3 formas de reparar la iat
1) sin salto mágico, reparar uno a uno, esto es por experiencia bien recomendable, latoso pero util igual
2) cambiar cierta zona de un push 100 a retn  (método inglés)
3) encontrar el salto mágico y luego haceer con script el orden de la tabla
(método de ricardo, en versiones variadas)

pero siempre hay cosas que nunca se hablan
Tendrá code splicies?
tendrá realmente nanomites
tendrá environmentvariables?

entre más alta la versión de armadillo más cosas te puedes encontrar
Veo que ya encontraste el oep, eso es un gran paso a favor.
Bueno

Existen varias herramientas para amadillo, de lo cual lo que más usé fue script de fungus, fue ujn proyecto interesante implementar que detectara el overlay y otros detalles que ayudaran a los Secured section esto utiliza script



la forma más rapida es que intentes usar armaggedon(cuando este obviamente sea una version soportada)

en http://www.ricardonarvaja.info/WEB/buscador.php
puedes encontrar material de "Armadillo"

en no mucho tiempo  estuve inclusive keygeneando armadillos pero es recomendable en super-computadoras y versiones menores a cierto número...


aver comenzemos con lo más básico Ejecuta este script desde el oep

Código [Seleccionar] Expandir

/*

Get Armadillo Version 3.xx / some 4.xx / 5.xx / 6.xx / 7.xx

*/

var aver
var temp
var scall
var outbuf
var membase
var len
var Armadillo_Version

bphwc                                      // Clear any hardware breakpoints
bpmc                                       // Clear any memory breakpoint
bc                                         // Clear any saved breakpoints
lc                                         // Clear the log window

gmi eip, MODULEBASE
mov ceip2, $RESULT
mov tmp1, ceip2
gmi eip, MODULESIZE
mov tmp2, $RESULT
add tmp1, tmp2
mov ceip1, tmp1

gpa "VirtualProtect", "kernel32.dll"
mov vpt, $RESULT
find vpt, #C21000#
mov vpt, $RESULT
gpa "OpenMutexA", "kernel32.dll"
mov oma, $RESULT
find oma, #C20C00#                         // find "retn 0C"
mov oma, $RESULT
gpa "IsDebuggerPresent", "kernel32.dll"
mov idp, $RESULT
gpa "OutputDebugStringA", "kernel32.dll"
mov odsa, $RESULT
gpa "OutputDebugStringW", "kernel32.dll"
mov odsw, $RESULT
mov [idp], #33C0C3#                        // assemble "xor eax,eax" "retn"
mov [odsa], #C20400#                       // assemble "retn 4"
mov [odsw], #C20400#                       // assemble "retn 4"
log "IsDebuggerPresent patched"
log "OutputDebugString patched"

msgyn "Is target using Debug Blocker/CopyMemII?"
mov idb, $RESULT
cmp idb, 0
je check1
                                           // Bypass Debug Blocker
bp oma
erun

mov eax, 01
erun

mov eax, 01
bc oma

check1:
bp vpt
bp odsa
bp odsw
erun

bc vpt
bc odsa
bc odsw
cmp eip, odsa
je  newversion
cmp eip, odsw
je  newversion

sti
gmi eip, NAME                              // check if eip is in unowned section
cmp $RESULT, 0
jne check1
cmp ceip2,eip                              // check if eip is below PE image
ja oldversion
cmp ceip1,eip                              // check if eip is above PE image
jb oldversion
jmp check1

newversion:

sto
gmemi eip, MEMORYBASE
mov membase, $RESULT

mov temp, eip
sub temp, 10
find temp, #E8#
mov scall, $RESULT
cmp scall, 0
je error1

mov eip, scall

find membase, #41666649443D3C3E00000000#
mov temp, $RESULT
add temp, 0C
mov aver, temp

alloc 1000
mov outbuf, $RESULT

push 100
push outbuf
push aver

sto

find outbuf, #00#
mov len, $RESULT
sub len, outbuf
cmp len, 0
je  error2
readstr [outbuf], len
mov Armadillo_Version, $RESULT
log Armadillo_Version
eval "Armadillo Version = {Armadillo_Version} "
msg $RESULT

jmp end

oldversion:

gmemi eip, MEMORYBASE
mov membase, $RESULT

find membase, #61726D56657273696F6E3E#
mov outbuf, $RESULT
add outbuf, 0F
find outbuf, #00#
mov len, $RESULT
sub len, outbuf
cmp len, 0
je  error2
readstr [outbuf], len
mov Armadillo_Version, $RESULT
log Armadillo_Version
eval "Armadillo Version = {Armadillo_Version} "
msg $RESULT

jmp end

error1:
msg "Can't find decryption routine!"
jmp end

error2:
msg "Sorry Armadillo version is removed, it is somewhere between 4.00 and 4.66"

end:
ret

cuando ya conozcas el faq, hubieras leido de los escrito de ricardo encontraras informacion de "FOX" en foros ingleses como exetools o bien en español algunas cosas en http://www.ricardonarvaja.info/WEB/buscador.php  solo basta que coloques "fox" o el nombre del ofuscador o temas que vayas viendo

hay por lo menos 5mil escritos de cracking, y siempre se quedan en los primeros 30...insisto, hay mucha literatura, luego de pasar todo creeme que solo sabras lo básico,lo demás se hace en la práctica...

en práctica dicen que en el fox puedes sacar su codigo, re construir el exe, pero tambien se ven casos donde solo extraen los stub o las rutinas basicas

buen trabajo ivinson, me deje engañar por los entrypoints...  molebox es un stub muy mutante lo usan rdg, lo uso karmany y otros suerte a quien resuelva esos xor ^^

es un depurador poderoso de ring 0, hay algunos tutoriales en la lista, los más fieros packers han sido desempacado con la ayuda este depurador


es recomendable cuando tienes tiempo, cuando el equipo colapsó y está con un blue screen, cuando tienes que desempacar algo bastante denso

la ventaja es que hay 1 sóla dll que se actualiza cada cierto tiempo, se coloca en ollydbg y evita un bug de vmprotect de la tabla de export, pero volviendo  a tu pregunta, son depuradores diferentes, son diferente forma de mirar

la mayor informacion en tiempo de ejecución?, pues piensa que el sistema operativo está congelado, y puedes ver todo lo que sucede en un microsegundo

es que si quieres realmente saber de como funciona el fingerprint hay 2 llamadas fingerprint mas enhanced fingerprint, hay muchas variables que rescata para aquello las claves son encriptadas y trabajadas con blowfish entre otros, pero el verdadero algoritmo de armadillo, ya lo he comentado en gran parte en las tecnicas de keygenning, que utiliza md5, salt  y otros algoritmos de base 32 entre otros, en las versiones nuevas suele usar TEA, teAN y otras variaciones de la confirmacion de hash a traves de algunos crc y mini crc, pero insisto, no es imposible si realmente te interesa

por otro lado, a mi me costo mas de 3 años intentar keygenear armadillo, asi que tiempo siempre hay.saludos Apuromafo

debe haber, todo programa tiene sus variantes, pero el tema es conocer, y como no conocer deberás leer
trainer, así se llama el concepto, hay varios programas para trainer, el tema es que cheat engine, charles, y así otros, son usados según el nivel de conocimiento de estos, más tutoriales los pillas en youtube pero aprende el concepto en que consiste y con el faq llegarías lejos de lo contrario te quedarías solo que es posible cambiar un dato...

respondiendo a una tool creada hace más de 2 años...