Page 1 of 4

Unpack no ragexe para gerar os packets semanais

Posted: 17 Sep 2014, 09:47
by tomate
Srs,

Com o fechamento do fórum brasileiro devido aos motivos já conhecidos do atual administrador, precisamos nos organizar pra geração das atualizações semanais.

Não trabalho com informática, nem nada parecido, mas pelo que sei e teoricamente o ragexe precisa passar pelo processo do unpack, posteriormente os pacotes podem ser extraidos com geração dos arquivos pm's, send e receive.

Testei várias versões do Stripper, que antigamente realizava o processo do unpack, mas sem chance, nenhuma das versões atinge o objetivo, seja a 207, 211 ou a 213. Possuo o extractor que gera os pacotes e os arquivos, mas não consigo nem por decreto o unpack do ragexe.

Se alguém conseguir esse procedimento, deixe algum comentário aqui no tópico dos passos, qual aplicativo usado e etc, assim podemos nos organizar e deixar aqui no fórum internacional quais os passos a serem seguidos por todos, ai cada um faz o seu.

Eu acredito muito que se eu conseguir o ragexe desprotegido, o resto tá pronto, eu repasso aqui também.

{}'s
Tomate US!

Re: Unpack no ragexe para gerar os packets semanais

Posted: 17 Sep 2014, 11:26
by heeroxxx
tomate,

tentei todas formas que encontrei para regularizar os arquivos, porem o .exe do bro tem alguma encriptação que os metodos que encontrei não conseguem ler.

Se alguem tiver alguma novidade...

Re: Unpack no ragexe para gerar os packets semanais

Posted: 17 Sep 2014, 11:41
by Falcon
Também estou procurando métodos para conseguir obter os pacotes, sem kore nem animo jogar bro.

Re: Unpack no ragexe para gerar os packets semanais

Posted: 17 Sep 2014, 11:49
by masterbrasil
Olá Tomate e pessoal,

Até agora tentei usando o ollydbg + olly dumb para fazer o unpack, sem sucesso... Usando o Exeinfo PE, consegui descobrir que o compressor usado no Ragexe.exe é o MPRESS v2.12^ -> [ v2.19 ], ele também me sugeriu 3 programas para fazer o unpack, que são eles: Quick unpack v2.2^ - http://www.AHTeam.org, PE Tools v1.5.800 RC7 - http://www.uinc.ru e Easy Import finder 0.10b by Hellsp@wn, o terceiro não consegui achar para download, os outros dois são russos, por isso estou com certa dificuldade.

Caso alguem tenha novas informações vão postando, postem também os métodos que tentaram até então.

Abraço e a pesquisa continua!

Re: Unpack no ragexe para gerar os packets semanais

Posted: 17 Sep 2014, 12:25
by Falcon
Aquele noob do saruesley, algo assim, do webcheats que rouba a conta dos outros com keylogger até agora não disponibilizou a atualização?

Ah... esqueci, ele copiava a atualização do revok e adicionava o script no pack completo.

Re: Unpack no ragexe para gerar os packets semanais

Posted: 17 Sep 2014, 12:47
by tomate
@masterbrasil

Interessante que a proteção do ASPack está no ragnarok.exe, que não nos interessa e, antigamente estava também no ragexe, que é o foco. Este realmente consta a proteção MPRESS2, juro que pra mim é novidade porque até então estava na reversa do ASPACK, por isso o Stripper nem passa perto.

Usei, pra efeito de testes, o ASPackDie, v1.4 no ragnarok.exe e consegui o unpack bonitinho, mas ele não funciona pro MPRESS.

Vou testar os programas que você citou, os três, depois volto aqui pra avisar.

Bora que unidos a gente chega mais longe.

{}'s
Tomate US!

Re: Unpack no ragexe para gerar os packets semanais

Posted: 17 Sep 2014, 12:57
by CapNascimento
Bom,

Antes de mais nada. Alguem sabe o processo completo??

Eu consigo rodar um programa que retira todas as instruções em hexadecimal do rag.exe.

O problema é como fazer um script pra identificar o que é received packets, o que é send packets e o send pm e receive pm e dai pra frente..


Alguem sabe tem o link do forum que o Revok aprendeu a fazer isso com um desenvolvedor do openkore ??

Re: Unpack no ragexe para gerar os packets semanais

Posted: 17 Sep 2014, 13:18
by tomate
@CapNascimento

O carinha abaixo gera os packets, além dos arquivos pm's, desde que siga as condições abaixo:

- ragexe desprotegido (unpack)
- mantenha o nome de ragexe.exe
- esteja na mesma pasta do executável ragexe

http://www.4shared.com/zip/Vi9KzQ1Ace/extractor2.html

Provavelmente seu AV irá detecta-lo como falso positivo, pra efeito de testes sugiro subir uma máquina virtual com XP e brincar.

Se puder fazer uns testes e nos retornar, agradecemos.

{}'s
Tomate US!

Re: Unpack no ragexe para gerar os packets semanais

Posted: 17 Sep 2014, 13:44
by lDimas
tipo, to tentando aprender aqui... achei uns posts, e o kLab usava o wireshark...
so que to perdido em como fazer o memorydump :/

Re: Unpack no ragexe para gerar os packets semanais

Posted: 17 Sep 2014, 13:50
by CapNascimento
Entao TOMATE,

Pelo que me lembro, nenhum extrator vai funcionar por causa da compreensao do rag.exe.


Nao tem como retirar.
O que o pessoal fazia era usar um disassembler pra pegar todos comandos do rag.exe

Depois segundo umas comparações nas instruções, voce consegue separar o que é receiv packets e o que é send.

Depois vc separa esses e cria os received packeds para ser mesclado com os existentes antigos


O problema é alguem conhecer o processo inteiro e independenet. Achoque so o Revok