KO Developers

Go Back   KO Developers > Forum Genel > English Forum


English Forum A whole forum for foreign users.


Beğeni Geçmişi1Beğeniler
  • 1 Post By OzkanOzdemir

Cevapla
LinkBack Seçenekler Stil
Okunmamış 19 Nisan 2019, 02:30   #1 (permalink)
Uzaklaştırılmış

martin123ko - ait Kullanıcı Resmi (Avatar)


Üyelik tarihi: 17 Nisan 2019
Bulunduğu yer: Sweden
Mesajlar: 49[+]
Kredi Bakiyeniz: 906
Ettiği teşekkür sayısı: 20
0 Mesaja 0 Kez Teşekkür Aldı

Standart Unpack 1299 ASProtect

Hello Everyone,
I made Windows XP VM and used PENTAGRAM:
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

ASProtect unpacker to unpack the Launcher.exe and KnightOnLine.exe of version 1299.
There are 3 Folders there:
* Stripper_v213b9
* Stripper.v2.11.RC2
* Stripper.v2.07

When I tried Stripper.v2.11.RC2, the unpacking failed.
When I tried Stripper.v2.07, the VM got BSOD(Blue Screen of Death).
When I tried Stripper_v213b9, the unpacking worked!
But for some reason the produced unpacked executable doesn't work well, even the launcher.
What could be the reason?
I even tried ImpREC 1.7e to fix the imports and also Scylla_v0.9.8, but when I click the exe, nothing happens.
I checked the entry point OEP with x64dbg and it looks good:
0x0067623F

Is there any better way to unpack ASProtect? Like the manual way using x64dbg? and then manually fix the imports without counting on some tool or script to do the job for me?
I can unpack later ASProtect versions manually, but the old 1.22 1.23 beta for some reason I'm having trouble finding the OEP.

I appreciate any help! Thanks in advance

Regards,
Martin Brooker
martin123ko isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Okunmamış 19 Nisan 2019, 11:37   #2 (permalink)
while (true) { printf("f*ck this life!"); }

OzkanOzdemir - ait Kullanıcı Resmi (Avatar)


Üyelik tarihi: 02 Temmuz 2017
Bulunduğu yer: Eskişehir
Mesajlar: 1.088[+]
Ettiği teşekkür sayısı: 42
366 Mesaja 1.127 Kez Teşekkür Aldı
Kullanıcı Envanteri Server Tanıtımı Alt Forum (Aylık)Sabit Konu (Haftalık)Kişisel Rütbe (kalıcı)Sabit Konu (Aylık)Görünmezlik (kalıcı)

Standart Cevap: Unpack 1299 ASProtect

You need disable hackshield for 1298 KO.exe and its will work.
We have ASM forum but closed for any reasons. Sorry i dont open ASM and Unpack forums, do it yourself.
martin123ko bunu beğendi

__________________

İmzalardaki resim ve linkleri görebilmeniz için mesaj sayınız 10 veya daha fazla olmalı. Şu anda 0 mesajınız var.
OzkanOzdemir isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Okunmamış 20 Nisan 2019, 06:46   #3 (permalink)
Uzaklaştırılmış

martin123ko - ait Kullanıcı Resmi (Avatar)


Üyelik tarihi: 17 Nisan 2019
Bulunduğu yer: Sweden
Mesajlar: 49[+]
Kredi Bakiyeniz: 906
Ettiği teşekkür sayısı: 20
0 Mesaja 0 Kez Teşekkür Aldı

Standart Cevap: Unpack 1299 ASProtect

Alıntı:
Mewtwo Nickli Üyeden Alıntı Mesajı göster
You need disable hackshield for 1298 KO.exe and its will work.
We have ASM forum but closed for any reasons. Sorry i dont open ASM and Unpack forums, do it yourself.
test
-- mesaja ek olarak --
Oh...I can comment now. Interesting. Because before it didn't let me saying I have to wait some time before I can post again.
Thanks for the input!
But I believe the issue atm is not with HackShield, there is some other problem with the way the stripper unpacked the exe. Maybe some stolen bytes code for API calls. Not sure what exactly.
And I already patched the HackShield call in the WinMain but it didn't help. The fact that also when I unpacked the Launcher.exe and the launcher doesn't require any additional patches, the launcher won't work.
I also tried to manually fix the entry point where it makes this call:
ASM Kod:
  1. 00676219 | 0000                     | add byte ptr ds:[eax],al                    |
  2. 0067621B | 0000                     | add byte ptr ds:[eax],al                    |
  3. 0067621D | 0000                     | add byte ptr ds:[eax],al                    |
  4. 0067621F | 0000                     | add byte ptr ds:[eax],al                    |
  5. 00676221 | 0000                     | add byte ptr ds:[eax],al                    |
  6. 00676223 | 0000                     | add byte ptr ds:[eax],al                    |
  7. 00676225 | 0000                     | add byte ptr ds:[eax],al                    |
  8. 00676227 | 0000                     | add byte ptr ds:[eax],al                    |
  9. 00676229 | 0000                     | add byte ptr ds:[eax],al                    |
  10. 0067622B | 0000                     | add byte ptr ds:[eax],al                    |
  11. 0067622D | 0000                     | add byte ptr ds:[eax],al                    |
  12. 0067622F | 0000                     | add byte ptr ds:[eax],al                    |
  13. 00676231 | 0000                     | add byte ptr ds:[eax],al                    |
  14. 00676233 | 0000                     | add byte ptr ds:[eax],al                    |
  15. 00676235 | 0000                     | add byte ptr ds:[eax],al                    |
  16. 00676237 | 0000                     | add byte ptr ds:[eax],al                    |
  17. 00676239 | 0000                     | add byte ptr ds:[eax],al                    |
  18. 0067623B | 0000                     | add byte ptr ds:[eax],al                    |
  19. 0067623D | 0000                     | add byte ptr ds:[eax],al                    |
  20. 0067623F | FF15 90316A00            | call dword ptr ds:[<&GetVersion>]           |

Because the stripper doesn't make the entry point look like a regular entry point as it should. So I patched it like this:
ASM Kod:
  1. 00676219 | 55                       | push ebp                                    |
  2. 0067621A | 8BEC                     | mov ebp,esp                                 |
  3. 0067621C | 6A FF                    | push FFFFFFFF                               |
  4. 0067621E | 68 68E36A00              | push knightonline.6AE368                    |
  5. 00676223 | 68 44606700              | push knightonline.676044                    |
  6. 00676228 | 64:A1 00000000           | mov eax,dword ptr fs:[0]                    |
  7. 0067622E | 50                       | push eax                                    |
  8. 0067622F | 64:8925 00000000         | mov dword ptr fs:[0],esp                    |
  9. 00676236 | 83EC 58                  | sub esp,58                                  |
  10. 00676239 | 53                       | push ebx                                    |
  11. 0067623A | 56                       | push esi                                    | esi:EntryPoint
  12. 0067623B | 57                       | push edi                                    | edi:EntryPoint
  13. 0067623C | 8965 E8                  | mov dword ptr ss:[ebp-18],esp               |
  14. 0067623F | FF15 90316A00            | call dword ptr ds:[<&GetVersion>]           |

Which is how a regular entry point should look like.
That's is why I wonder why it doesn't work well with the stripper Even VirusTotal says it's quiet infected, which I know it's probably a false positive, but still, I think a clean manual unpack should solve all this problems and I'll need to dig more to get there.
If I'll succeed, I'll also share it here in the forums, because it would be nice to finally have a clean unpacked 1299 KnightOnLine.exe and Launcher.exe without the annoying false positive detection.
Any input from you guys would be highly appreciated. Thanks again!
martin123ko isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Cevapla


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

Geçerli forum için yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı
Trackbacks are Açık
Pingbacks are Açık
Refbacks are Açık


Benzer Konular
Konu Konuyu Başlatan Forum Cevaplar Son Mesaj
Client 1299 unpack yapmak istiyorum YigitHanSen Genel İstek 9 23 Mart 2019 12:31
Client v1453 unpack KnightOnline.exe kingpin Genel İstek 0 21 Mart 2019 18:28


Forum Site Hakkında
vBulletin® tarafından desteklenmektedir Versiyon 3.8.4
Telif hakkı ©2000 - 2019, Jelsoft Enterprises Ltd.

Sitemizdeki içerikler kopyalanmaya karşı DMCA ile korunmaktadır. DMCA.com Protection Status
İçerik sağlayıcı paylaşım sitelerinden biri olan kodevelopers.com Forum Adresimizde T.C.K 20.ci Madde ve 5651 Sayılı Kanun'un 4.cü maddesinin (2).ci fıkrasına göre TÜM ÜYELERİMİZ yaptıkları paylaşımlardan sorumludur. kodevelopers.com hakkında yapılacak tüm hukuksal Şikayetler için admin@kodevelopers.com Mail adresimiz üzerinden iletişime geçilmesi halinde ilgili kanunlar ve yönetmelikler çerçevesinde en geç 1 (Bir) Hafta içerisinde kodevelopers.com yönetimi olarak tarafımızdan gereken işlemler yapılacak ve Avukatımız size dönüş yapacaktır.
© 2017 KO Developers ( by NERONLINEWORLD 2011/2013 )
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178

Search Engine Friendly URLs by vBSEO 3.6.0