Unpackme Quantycad

HERRAMIENTAS.

1.- Olly version final y que no este modificado (esto lo pongo por que la version que usaba me daba problemas no se a que se debia asi que empeze con una version limpia).

2.- Plugins Olly Dump.

3.- Import Reconstrutor.

4.- IsDebugPresent.


Paso 1.- abrimos nuestro Olly y le damos una pasada con Peid o RdgParker para ver que tenemos por ahi y se observa que esta empaquetado con nuestro enemigo PC-GUARD

[img][/img]

Asi que ya sabemos el tipo de regalito que tiene nuestro programa , bueno asi que antes de iniciar nos vamos a nuestras opciones del olly y destildamos todas las exepciones.

[img][/img]

Paso 2.- Procedemos a cargar nuestro archiv a estudiar con olly, que automaticamente nos cae en una Excepcion, una vez cargado el archivo nos vamos a nuestros plugins y ejecutamos el IsDebugPresent, le damos Hide y listo si vemos en nuestra ventana de Log automaticamente aparece una leyenda del IsDebugPresent.

[img][/img]

Paso 3.- Una ves cargado nuestro ejecutable en el Olly procedemos a buscar nuestra ultima excepcion, como en el paso 2 ya habiamos cargado el plugin del IsDebugPresent, ahora solo no resta ir Options en Olly, pulsar Debuggin Option y destildar todas las opciones. y nos mostrara como la siguiente figura, una vez hecho esto procedemos a ejecutar con F9 y esperemos ver donde para, por lo tanto tambien se vera en la figura siguiente., y continuamente procedemos a ejecutar con shift+F9 hasta llegar a la ultima excepcion antes de que entremos al programa y por lo tanto en mi caso la ultima excepcion sera:

Destildando las opciones.


[img][/img]

Ejecutando hasta llegar a la ultima excepcion (shift+F9)

[img][/img]

Paso 4.- Una vez localizada la excepcion nos vamos a la ventana del Memory Map, y localizamos nuestro executable en la seccion de code., se le da clic derecho y se pone un Bp en memory acces, posteriormente una vez hecho esto nos vamos a nuestro menu option del olly y procedemos a tildar nuestras opciones.

Bp en Memory Acces.

[img][/img]

Activando las opciones en Olly.

[img][/img]

paso 5.- Una vez hecho lo anterior ahora se procede a dar F9 y automaticamente debemos parar en el OEP del programa o cerca de este. ahora solo bastara dar clic derecho, en analysis pulsar Remove from analysis module y caemos en el OEP.

Pulsamos F9.


[img][/img]

Procedemos a limpiar con Remove from Analysis module.

[img][/img]

Estamos en el OEP del Programa.

[img][/img]

Paso 6.- Una vez estando en el OEP se procede a dumpear el programa, asi que le damos clic derecho en esa seccion y damos clic a Dump Debugger Process, y lo guardamos con el nombre que querramos, no olvidando destildar la opcion Rebuild import, y tampoco olvidar el valor del entry point modificado.

Dumpeado del programa.

[img][/img]

Paso 7.- Una vez hecho lo anterior abrimos nuestro ImportRec, seleccionamos nuestro programa, en la seccion de OEP ponemos el valor del entrypoint modificado en nuestro caso 1264, luego damos clic a IAT AutoSearch, y tenemos la opcion que nos muestra un msj, posteriormente damos en ok, y pulsamos Get Imports, una vez hecho esto damos clic en Fix Dump y seleccionamos el archivo que guardamos al dumpear, posteriormente

Seleccionando el programa.

[img][/img]

Colocando el valor del OEP y clic en IAT

[img][/img]

Clic en Get Import

[img][/img]

Clic en Fix Dump.

[img][/img]

Nos aparece que fue hecho correctamente.

[img][/img]

Paso 8.- Ahora solo bastara de comprobar con Peid, y abrir el archivo generado por el ImprRec. y vemos que efectivamente ha sido desempaquetado y tambien observamos que esta hecho en C++ 6.0 eso nos da la pauta para poder crackearlo sin ningun problema ya que la proteccion del PC_GUARD fue erradicada. hasta la proxima nos veremos en otro tuto.

Abrir con Peid el Archivo Generado.


[img][/img]

Se puede Observar el exito del proceso y desempaquetado y erradicado el PC_GUARD.

[img][/img]

Gracias Francisco, muy buen tutorial