Inicio
Buscar
Ingresar
Registrarse
Starfield: el juego que revolucionará el espacio y la tecnología
Hack x Crack - Comunidad de Seguridad informática
»
Hack x Crack
»
Dudas Generales
»
desempacar dll con pecompact
Imprimir
Páginas: [
1
]
Ir Abajo
Autor
Tema: desempacar dll con pecompact (Leído 3282 veces)
Sadistski
{ L0 } Ñuub
Mensajes: 26
desempacar dll con pecompact
«
en:
Enero 29, 2017, 07:04:27 am »
hola...quisiera pediros un favor ,le dare un hijo a quien me ayude xd
necesito a alguien que me desempaque una DLL comprimida con PECOMPACT...
no hay caso que haya podido desempacarlo, he intentado con ollyscripts, ollydump, buscando el OEP, tanto manual como con scripts.... leyendo los manuales de ricardo narvaja y buscando sobre crack latinos... y ninguno me ha funcionado
tambien he intentado programas para desempacar pecompact, pero ninguno funciona con dlls :/
http://www.mediafire.com/file/9z4o8vi3oirb34q/steamclient.dll
alguien seria tan amable de ayudarme a desempacarlo? :/...
«
Última modificación: Enero 29, 2017, 07:17:32 am por Sadistski
»
En línea
Homo-Sapiens
{ L0 } Ñuub
Mensajes: 8
Re:desempacar dll con pecompact
«
Respuesta #1 en:
Enero 29, 2017, 04:26:42 pm »
¿Has probado Mark unpaker?
En línea
Sadistski
{ L0 } Ñuub
Mensajes: 26
Re:desempacar dll con pecompact
«
Respuesta #2 en:
Enero 30, 2017, 04:53:40 am »
lo estuve buscando pero no lo encontré :/
En línea
apuromafo
{ L0 } Ñuub
Mensajes: 16
Re:desempacar dll con pecompact
«
Respuesta #3 en:
Marzo 30, 2017, 01:36:33 am »
(Leído 225 veces)
los pasos para desempacar son 3 en general para las dll,
1) encontrar el oep (normalmente se ve con el mismo entrypoint una vez ejecutado..solo debes manejar Seh(excepcion)
2) reparar la iat (primero hay que ver si tuviera entradas invalidas)
3) reparar las reloc (esto es para que la dll corra en todos los pc
no tengo mucho animo de reparar una dll de steam, pero en general esos son los pasos, no se si alguno ha hecho tute al respecto, pero ese es la forma
respecto a las herramientas que necesitarás (yo uso windows 8.1)
necesitarás lord pe o en su defecto scylla (dump)
scylla 0.9.8 (viene dispoible con x64dbg)
ollydbg o x64dbg
Relox (UCF)
si quieres ayuda con el dump de 2 secciones diferentes, podrias usar un dll loader de snd (para ollydbg)
o bien un Relox helper creado por mr.exodia, el cual no es dificil de googlear
para los pasos finales es seguir el orden
en mi caso el oep me apunta que está en 6D55F830 (de tu dll)
6D5B8957 >-E9 D46EFAFF JMP 6D55F830
la iat comienza en
6D573000 76D871B0 kernel32.GetTickCount
y termina en 000001EC mas...
6D573000 76D871B0 kernel32.GetTickCount
6D573004 76D7B4D0 JMP to KernelBa.GetEnvironmentStringsW
6D573008 76D7B2B0 kernel32.FreeEnvironmentStringsW
6D57300C 76D7A6C0 kernel32.IsProcessorFeaturePresent
6D573010 76DA75F0 kernel32.SetStdHandle
6D573014 76D88C90 JMP to KernelBa.SetFilePointer
6D573018 774E47D0 ntdll.RtlSizeHeap
6D57301C 76D72510 JMP to ntdll.RtlSetLastWin32Error
6D573020 76D7A870 kernel32.TlsFree
6D573024 76D724F0 kernel32.TlsSetValue
6D573028 76D718F0 kernel32.TlsGetValue
6D57302C 774D9490 ntdll.RtlInitializeCriticalSection
6D573030 774FC8C0 ntdll.RtlDeleteCriticalSection
6D573034 774D0D60 ntdll.RtlEnterCriticalSection
6D573038 76D76F60 kernel32.GetCurrentThread
6D57303C 774D0DA0 ntdll.RtlLeaveCriticalSection
6D573040 76D7B030 kernel32.GetModuleFileNameA
6D573044 76D78F60 kernel32.GetModuleHandleA
6D573048 76D89850 kernel32.ExitProcess
6D57304C 76D722D0 kernel32.GetCurrentProcessId
6D573050 76D7AFD0 kernel32.GetEnvironmentVariableW
6D573054 76D7A970 kernel32.LoadLibraryExA
6D573058 76D726E0 JMP to KernelBa.GetLastError
6D57305C 76D7A790 kernel32.FreeLibrary
6D573060 76D77B50 kernel32.GetProcAddress
6D573064 76D88770 JMP to KernelBa.CreateEventW
6D573068 76D886F0 JMP to KernelBa.CloseHandle
6D57306C 76D888C0 JMP to KernelBa.WaitForSingleObject
6D573070 76D7A0C0 kernel32.GetModuleHandleW
6D573074 76D7A0E0 kernel32.GetModuleFileNameW
6D573078 76D7AFF0 kernel32.GetStringTypeW
6D57307C 76D7D070 kernel32.GetPrivateProfileStringW
6D573080 76D7B630 kernel32.CreateProcessW
6D573084 774B2940 ntdll.RtlExitUserThread
6D573088 76D728E0 kernel32.GetCurrentProcess
6D57308C 76D782D0 JMP to KernelBa.Sleep
6D573090 76D7A740 kernel32.CreateThread
6D573094 76D7B290 kernel32.DisableThreadLibraryCalls
6D573098 76DA77B0 kernel32.TerminateThread
6D57309C 76D88930 JMP to KernelBa.CreateFileW
6D5730A0 76D88880 JMP to KernelBa.SetEvent
6D5730A4 76DA2430 kernel32.CreateMailslotW
6D5730A8 76DA2540 kernel32.GetMailslotInfo
6D5730AC 76D88C00 JMP to KernelBa.ReadFile
6D5730B0 76D88CF0 JMP to KernelBa.WriteFile
6D5730B4 76D88870 JMP to KernelBa.ResetEvent
6D5730B8 76D783D0 kernel32.OpenProcess
6D5730BC 76D88900 JMP to KernelBa.CreateDirectoryW
6D5730C0 774FBD00 ntdll.RtlTryEnterCriticalSection
6D5730C4 76D888F0 JMP to KernelBa.CreateDirectoryA
6D5730C8 76D76F00 kernel32.QueryPerformanceCounter
6D5730CC 76D77BC0 kernel32.QueryPerformanceFrequency
6D5730D0 76D85650 kernel32.GetExitCodeThread
6D5730D4 76D718E0 kernel32.GetCurrentThreadId
6D5730D8 76D88920 JMP to KernelBa.CreateFileA
6D5730DC 76D7A820 kernel32.LoadLibraryW
6D5730E0 76D78AB0 kernel32.VirtualProtect
6D5730E4 76D7FF20 kernel32.GetVolumeInformationA
6D5730E8 76D77AA0 JMP to KernelBa.GetProcessHeap
6D5730EC 76D78F80 kernel32.LoadLibraryA
6D5730F0 76D7AB00 JMP to KernelBa.TlsAlloc
6D5730F4 76D7AB70 kernel32.IsValidCodePage
6D5730F8 76D86F50 JMP to KernelBa.GetOEMCP
6D5730FC 76D783A0 JMP to KernelBa.GetACP
6D573100 76D88A30 JMP to KernelBa.FlushFileBuffers
6D573104 76D88F10 JMP to KernelBa.GetConsoleMode
6D573108 76D88F00 JMP to KernelBa.GetConsoleCP
6D57310C 76D88FC0 JMP to KernelBa.WriteConsoleW
6D573110 76D88C50 JMP to KernelBa.SetEndOfFile
6D573114 76D88C60 JMP to KernelBa.SetFileAttributesA
6D573118 76D74270 kernel32.InterlockedIncrement
6D57311C 76D76FB0 kernel32.InterlockedDecrement
6D573120 76D770D0 kernel32.WideCharToMultiByte
6D573124 76D72520 kernel32.InterlockedExchange
6D573128 774D95C0 ntdll.RtlEncodePointer
6D57312C 774D9600 ntdll.RtlDecodePointer
6D573130 76D74290 kernel32.MultiByteToWideChar
6D573134 76D770C0 JMP to KernelBa.GetSystemTimeAsFileTime
6D573138 76D724D0 kernel32.HeapFree
6D57313C 774D0DE0 ntdll.RtlAllocateHeap
6D573140 774FBD40 ntdll.RtlReAllocateHeap
6D573144 76D88950 JMP to KernelBa.DeleteFileA
6D573148 76D7B5A0 JMP to KernelBa.GetCommandLineA
6D57314C 76D7B230 JMP to KernelBa.RaiseException
6D573150 76D7B0A0 JMP to ntdll.RtlUnwind
6D573154 76D7B010 kernel32.GetCPInfo
6D573158 76D77AF0 kernel32.LCMapStringW
6D57315C 76D7B930 kernel32.TerminateProcess
6D573160 76DA7810 kernel32.UnhandledExceptionFilter
6D573164 76D7B5C0 kernel32.SetUnhandledExceptionFilter
6D573168 76D7B880 JMP to KernelBa.IsDebuggerPresent
6D57316C 76D7B5E0 kernel32.SetHandleCount
6D573170 76D7B0B0 kernel32.GetStdHandle
6D573174 76D887E0 JMP to KernelBa.InitializeCriticalSectionAndSpinCount
6D573178 76D88B20 JMP to KernelBa.GetFileType
6D57317C 76D7B2D0 JMP to KernelBa.GetStartupInfoW
6D573180 76D7A770 kernel32.HeapCreate
6D573184 76D84100 kernel32.HeapDestroy
6D573188 00000000
6D57318C 74CF15A0 psapi.GetProcessImageFileNameW
6D573190 74CF1500 psapi.EnumProcesses
6D573194 00000000
6D573198 76D1F9C0 shlwapi.StrStrIA
6D57319C 00000000
6D5731A0 74FE78C0 user32.MessageBoxW
6D5731A4 74FA3B30 user32.wsprintfW
6D5731A8 74FE75F0 user32.MessageBoxA
6D5731AC 00000000
6D5731B0 74C83250 JMP to KernelBa.GetLastError
6D5731B4 74C84AA0 ws2_32.setsockopt
6D5731B8 74C850D0 ws2_32.ioctlsocket
6D5731BC 74C83DA0 ws2_32.WSAStartup
6D5731C0 74C83490 ws2_32.sendto
6D5731C4 74C91860 ws2_32.send
6D5731C8 74C93930 ws2_32.recvfrom
6D5731CC 74C84EF0 ws2_32.recv
6D5731D0 74C84C30 ws2_32.bind
6D5731D4 74C90CF0 ws2_32.select
6D5731D8 74C83BA0 ws2_32.closesocket
6D5731DC 74C831C0 ws2_32.ntohs
6D5731E0 74C84A10 ws2_32.socket
6D5731E4 74C833F0 ws2_32.ntohl
6D5731E8 74C858D0 ws2_32.inet_addr
6D5731EC 00000000
luego dumpeas y reparas iat (como cualquier tutorial)
tendrias esto:
https://www.sendspace.com/file/e746fd
viene ahora el tema de reparar el reloc, cuando reparas, puede cargarse en diferentes imagenes quedando desempacado:
unpacked:
https://www.sendspace.com/file/7val6c
saludos Apuromafo
pd:cualquier otro error ya debe ser propio del programa y no del packer (que ya ha sido removido)
saludos cordiales
Apuromafo Crackslatinos
respecto a desempacar luego del oep e iat (no tiene entradas invalidas)
si fuera por oep+iat tendrias este archivo
solo falta que repares reloc con esta herramienta
https://tuts4you.com/download.php?view.3327
En línea
Imprimir
Páginas: [
1
]
Ir Arriba
Hack x Crack - Comunidad de Seguridad informática
»
Hack x Crack
»
Dudas Generales
»
desempacar dll con pecompact
Va un mudo y le dice a un sordo: Hack x Crack usa cookies. Pues eso...
OK
Learn more