bajando para verlo, igual creo que pesa demasiado .ojala llame la atencion
saludos
Apuromafo CLS
pues te comento mi impresion y con la experiencia que tengo
primero te felicito por hacer ese video
pero igual puede sonar o leerse un poco fuerte lo que te dire, pero tomalo en el buen sentido de mejorar
a modo que queden 20 dias..y quieres cambiarlo..
aspack no se encarga de la proteccion de dias solo de dejarlo mas pequeñito
y en cuanto a desempacar aspack , no siempre lograras un desempacado 100% funcional, siempre hay de todo
ejemplo en los tutoriales creados con Neobook 5 y/o otros donde tienen ademas CRC y demases..
siguiendo. buen aporte y esto que escribo abajo es solo para que subas el nivel 1 peldaño mas
sip , usas terminos mas o menos claros para los usuarios, pero edita el titulo, estas desempacando un programa en ASPACK
el titulo dice exactamente
Re: Desempackando y registrando Aspack by AnUbIsSs
aspack es el protector comercial usado
y esta empacado en asprotect 1 punto y algo o 2 punto y algo..
para desempacarlo depende de la version
ahora bien, se que tu intencion es mostrar como desempacar y registrar, pero el metodo para registrar que usas es simplemente engañarse un poquito..porque registrar seria colocar nombre y serial valido
Cuando dumpeas, debes reparar la iat, en este caso solamente tienes tildado la opcion de dumpear y todo eso
mas me gustaria que para mejorar hicieras lo siguiente
colocalo en formato flash, para motivos de tamaño
o bien saca fotos y los colocas en formato doc
buen uso del camstasia estudio
conozco el tema por años y te comento nuevas cosas o nuevos metodos
1) USAR unpacker
2) a mano.. el a mano lo hiciste
pero de esta modalidad falta 2 puntos, reparar la iat o revisar la iat..solo eso.. pero corriendo en tu pc, pensemos que estamos bien
ahora bien, se que estas animado en decir que esta desempacado, pero aveces por muy desempacado que parezca tambien existen algunos que no seran posibles desempacarlos y la opcion en esos casos es enseñar a inlinear
inline cracking en aspack es en el salto previo al oep que esta con el popad...
y en los espacios vacios..
por lo demas te animo a seguir adelante y colocale porfavor hightlingihg..jumps and call, para ayudar a quien mira los saltos , calls y comandos
tambien es posible desempacar aspack con scritps que realizan el mismo procedimiento y estan a 1 plugin de uso
saludos y animo en todo sigue asi
amm mira este metodo mas corto
busca popad desde el oep
004403AF . 61 popad
004403B0 . 75 08 jnz short 004403BA
004403B2 . B8 01000000 mov eax, 1
004403B7 . C2 0C00 retn 0C
004403BA > 68 00000000 push 0
004403BF . C3 retn
luego bp (f2 en 4403b0 p 4403af )
y luego ejecutas (f9)
veras lo siguiente cuando caiga ahi
004403AF . 61 popad
004403B0 . 75 08 jnz short 004403BA
004403B2 . B8 01000000 mov eax, 1
004403B7 . C2 0C00 retn 0C
004403BA > 68 D0514200 push 004251D0
004403BF . C3 retn
004403BA > 68 D0514200 push 004251D0push OEP
ahora algunos diran que es OEP-> ORIGINAL ENTRY POINT
y EP -> ENTRY point
en el caso del programa que ves seria
00440001 > $ 60 pushad
este seria el entrypoint
colocas punto y coma y tienes para comentar al lado
ej "este es el EP"
y haciendo mas facil para los que ven, y evitas el notepad
00440001 > $ 60 pushad ; este es el EP
004403AF . 61 popad ; este es el termino de la funcion pushad--restaura los registros
004403BA > 68 D0514200 push 004251D0 ; push 4251d0->push oep
004403BF . C3 retn
la explicacion de como salta al oep es que
PUSH +RET = JMP
por lo tanto al pushear el valor, retornara al valor pusheado
...
siguiendo ,
a metodo unpacker ejemplo el aspack die
es abrirlo y renombrar el archivo unpacked..
dice
---------------------------
AspackDie - Info
---------------------------
File seems to be unpacked successfully.
Compressor: Aspack 2.12/2.12a/2.12b
Output: C:\Escritorio\8 al 15 raton\Capitulo12\unpacked.ExE
---------------------------
Aceptar
---------------------------
chachan.. 2 seg
ahora bien vamos por el serial correcto
posicionados en
0042508F |. 3BFE cmp edi, esi
y en
004250C1 |> \3BFE cmp edi, esi
esi tendra tu valor o serial puesto que sea en NUMEROS::
esi=075BCD15 ->hexadecimal de un valor previamente calculado../(del numero ingresado
edi=0FC1F340 ->hexadecimal del valor correcto
con el bp en el lugar colocas
esi=075BCD15
edi=0FC1F340
Jump from 004250A9
modify registry, osea del edi, y verificas el valor correcto osea EDI
osea el numerito
264368960
ejemplo name
Apuromafo
pass 264368960
la imagen donde dice Apuromafo y 264368960
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesiony que pasa cuando se pulsa..
si la quieres descargar
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesionel funcionamiento de eso esta en
004251A0 /$ 53 push ebx
004251A1 |. 89C3 mov ebx, eax
004251A3 |. 83FB 00 cmp ebx, 0
004251A6 |. 74 13 je short 004251BB
004251A8 |. B8 01000000 mov eax, 1
004251AD |. 31C9 xor ecx, ecx
004251AF |> 8A0B /mov cl, byte ptr [ebx]
004251B1 |. 80F9 00 |cmp cl, 0
004251B4 |. 74 05 |je short 004251BB
004251B6 |. F7E1 |mul ecx
004251B8 |. 43 |inc ebx
004251B9 |.^ EB F4 \jmp short 004251AF
004251BB |> 25 FFFFFF0F and eax, 0FFFFFFF
004251C0 |. 5B pop ebx
004251C1 \. C3 retn
creo que sera muy largo de leer esto, asi que como complemento, creo que esta bien
saludos y animo en tu avanze en Ingenieria inversa
sigue asi, con mas tutoriales
yo por tiempo no he dedicado a hacer mas, porque normalmente no es necesario enseñar ,algo que otros ya enseñaron :S
saludos Apuromafo
-----------
para quienes no sepan el crackme es el usado por raton en el capitulo 12
Desempacando ASPACK
yo lo tengo en mediafire.com/apuromafo
ingenieria inversa >introduccion cracking >en curso de raton
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesionfuente
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion//cito a raton en su capitulo 12
Seguiremos los mismos pasos que utilizamos con PE Compact a la hora de resolver este primer empaquetado.
Analizamos con Peid y vemos la protección ASPack 2.12, aprovecho para orientarme un poco por si tuviera problemas a la hora de encontrar el OEP y utilizo el plugin generic OEP finder del Peid, repito: solo para orientarme y me dice que el OEP se encuentra en la dirección 4251D0 (jeje, esto es lógico estoy utilizando el mismo crackme que en el capitulo anterior solo que con distinto empacador, por tanto: mismo crackme = mismo OEP, lógico) creo que así nos será mas fácil ir iniciándonos en el tema.
Cargo el crackme en Olly y miro las strings references: basurilla
Pasados los cartelitos de aviso la primera dirección en la que para Olly es un PUSHAD, en el capitulo anterior vimos que teníamos que bajar un poco con F7 hasta llegar al primer pushad, sin embargo aquí aparecemos justo encima del primer pushad.
Si queréis podéis mirar el memory map (alt+M) y ver que estamos fuera de la sección code, estamos en una sección llamada .aspack, jeje.
visto esto pulsamos una sola vez F7 para pasar el pushad y en ESP hacemos follow in dump
Fijaros en el Stack igual que en el cap anterior vemos EDI en primer lugar y los demás registros a continuación, en la ventana del dump hacemos lo mismo: sombreamos los primeros 4 pares de la izquierda (que pertenecen a EDI pero “escritos al revés”) y ponemos un BP Hardware on acess Dword
Pulsamos F9 y aparecemos aquí:
Bajamos pulsando poco a poco F7 y llegamos al RETN
Pulsamos una vez mas F7 y aparecemos aquí:
Que raro, la dirección coincide con la que Peid nos dijo que era el OEP (además nosotros ya lo sabemos del capitulo anterior) pero no vemos código, vamos arreglar esto.
Nos ponemos en la línea donde esta Olly parado y click derecho – Analysis – Remove analysis
Ya vemos el código como es debido
Y –recordemos que este crackme esta escrito en Delphi- las tres instrucciones clave:
Por tanto hemos encontrado el OEP traceando, coincide con el que nos da el Peid, procedemos a hacer el volcado del exe desde el plugin del Olly
Pulsamos get eip as oep y luego dump, le damos un nombre y ya tenemos el exe volcado y con el OEP que nosotros queremos.
Autor