Autor
|
Tema: ayuda para desempakar un .exe (Leído 13,574 veces)
|
comando
Desconectado
Mensajes: 9
|
Buenas a todos , me gustaría coger cierta utilidad del codigo de un .exe y se me está complicando mucho a ver si alguien puede darme algo de luz al tema. Cuando meto el .exe en cuestión a un decompilador ( he probado varios) , principalmente: GrayWolf , VB_Decompiler o IlSpy Me arroja un un error y no me saca nada de información y me dice que el archivo puede estar Empaquetado (packed) he intentado averiguar que packer lleva con alguna herramienta como , RDG PAcker Detector , PEid , ProtectionID y todos me salta error no me saca nada de información al respecto ya no se que hacer para ver que tipo de packer lleva el archivo. El RDG packer detector en M-A no hace nada y en M-B después de cargar 1 min igual ( nada) el PEID me sale abajo : Not a Valid PE file y el Protection ID: me sale un texto en azul que no da tiempo a leerlo y me tira la consola full lineas de *DATA DAMAGED* ya no se como seguir chicos, alguien se le ocurre alguna idea ? tiene que tener algun packer gordo porque está costando bastante...
acabo de probar el Ollydbg y me dice que no es un archivo de 32 bit . me tira error y tampoco me saca nada , me estoy volviendo loco , alguna forma tiene que haber EDIT: descubrí como pasarle el UPX y me tira el siguiente error : https://gyazo.com/8fed96a342cfad1c815c4c3bad357f80ahora me he quedado ya sin saber que hacer ningún desempacker me lee nada , porque puede ser? puede haber alguna cifrado especial o algo que se me escapa? EDIT2: ya que estoy a punto de la rendición señores adjunto el archivo a ver si alguien los tiene como el caballo de espartero y consigue el codigo haciendo sus pruebas y que nos pueda ilustrar : https://www.mediafire.com/file/nb5xfot1wylsxwe/LostChaos.exe/file EDIT 3: Despues de estar cacharreando por ahí como bien dijo el compi mas abajo efectivamente si lo pasas por Virus Total te detecta 2 CERT de Enigma protector ... https://gyazo.com/6961373efc300a881597c477fcb13482
Digo bueno pues le hago paso el MegaDump pero me saca 0 dumps , sigo viendo la info del VirusTotal y tenía mis dudas sobre que era lo que sale en ROJO "TRAPMINE" : https://gyazo.com/02ee9ca3b9528c0776d7651a9d0a5489 he estado buscando y aqui está : https://trapmine.com Me mosqueba el hecho de que en DETECT it EASY ni el PEID ni el RDG entre otros me sacase nada de INFO y yo creo que la culpa es del famoso "TRAPMINE" lo han protegido muchísimo por lo que estoy viendo para los ataques de exploit y malware.
sabemos que tiene ENIGMA y el TRAPMINE primero sería quitar el TRAPMINE seguramente ya que si del tiron va a atacar a ENIGMA no te saca nada habría que quitar lo otro vosotros que creeis? alguna idea para seguir con el proyecto?
|
|
« Última modificación: 6 Junio 2022, 13:18 pm por comando »
|
En línea
|
|
|
|
Danielㅤ
Desconectado
Mensajes: 1.853
🔵🔵🔵🔵🔵🔵🔵
|
Hola, tal vez ese ejecutable está comprimido con UPX, prueba a descomprimirlo y después intenta averiguar el packer que usa.
Saludos
|
|
|
En línea
|
|
|
|
comando
Desconectado
Mensajes: 9
|
Hola, tal vez ese ejecutable está comprimido con UPX, prueba a descomprimirlo y después intenta averiguar el packer que usa.
Saludos
Realmente creo que me va ayudar el UPX por lo que he estado viendo pero desconozco la forma de instalarlo me lo descargo de Github pero no me abre , he estado viendo que se utiliza mediante la consola de powershell pero no encuentro la forma de hacerlo correr , una ayudita?
|
|
|
En línea
|
|
|
|
Danielㅤ
Desconectado
Mensajes: 1.853
🔵🔵🔵🔵🔵🔵🔵
|
Hace muchos años que no uso el UPX, sabía usarlo para comprimir ejecutables, pero si no mal recuerdo tenés que abrir la CMD y ejecutar el UPX con el parámetro del nombre del exe o la ruta de éste y presionar ENTER, una vez comprimido (que de hecho apenas dura unos segundos la compresión) te informará el UPX en la consola CMD que la compresión fue exitosa y el radio de compresión, es decir que tanto se pudo comprimir ese exe.
Por otro lado lo que podes hacer es usar el software Resource Hacker e intentar abrir ese exe LostChaos.exe para verificar si tiene alguna compresión, porque el Resource Hacker suele informarte cuando un ejecutable suele estar comprimido y no puede abrirlo/cargarlo para ser modificado.
Ahora un consejo, siempre que hagas pruebas haz una copia constantemente de ese ejecutable porque puede suceder que algún software de los que has probado lo haya modificado y por eso todos te dan error, siempre tenés que trabajar con copias nuevas y hacer las pruebas en las copias nuevas.
Yo te diría que vuelvas a descargar o a obtener ese exe nuevamente de donde lo has obtenido por las dudas algún software te lo haya modificado y no te hayas dado cuenta.
Saludos
|
|
« Última modificación: 3 Junio 2022, 20:40 pm por Danielㅤ »
|
En línea
|
|
|
|
comando
Desconectado
Mensajes: 9
|
Hace muchos años que no uso el UPX, sabía usarlo para comprimir ejecutables, pero si no mal recuerdo tenés que abrir la CMD y ejecutar el UPX con el parámetro del nombre del exe o la ruta de éste y presionar ENTER, una vez comprimido (que de hecho apenas dura unos segundos la compresión) te informará el UPX en la consola CMD que la compresión fue exitosa y el radio de compresión, es decir que tanto se pudo comprimir ese exe.
Por otro lado lo que podes hacer es usar el software Resource Hacker e intentar abrir ese exe LostChaos.exe para verificar si tiene alguna compresión, porque el Resource Hacker suele informarte cuando un ejecutable suele estar comprimido y no puede abrirlo/cargarlo para ser modificado.
Ahora un consejo, siempre que hagas pruebas haz una copia constantemente de ese ejecutable porque puede suceder que algún software de los que has probado lo haya modificado y por eso todos te dan error, siempre tenés que trabajar con copias nuevas y hacer las pruebas en las copias nuevas.
Yo te diría que vuelvas a descargar o a obtener ese exe nuevamente de donde lo has obtenido por las dudas algún software te lo haya modificado y no te hayas dado cuenta.
Saludos
Gracias Daniel por tu atención , soy consciente de eso , aún no he podido modificar el .exe por lo tanto no puede estar corrupto quiero pensar, y como bien dices no hay problema lo tengo en un Zip y cuando hago algo que toque algún parametro saco del zip nuevamente el ejecutable Como bien dices es así como funciona el upx , lo conseguí utilizar , no hay mucha información al respecto por ahí. Ahora que me estoy dando cuenta , por lo que tengo entendido si un archivo está empaquetado debería pesar ( en kbytes) una cantidad mas pequeña . y en este archivo de LostChaos me marca 110.155 KB me parece bastante grande la verdad ahora que me doy cuenta , quizás a lo mejor no está empaquetado? pero si no lo está cualquier decompiler me lo debería abrir no ? Aun así con la info que me has dado puedo continuar probando cositas
|
|
« Última modificación: 3 Junio 2022, 21:27 pm por comando »
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Hola!
Si miras los details de Virustotal verás que tiene un cert de Enigma Protector.
Ese es el packer.
Saludos!
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
comando
Desconectado
Mensajes: 9
|
Hola!
Si miras los details de Virustotal verás que tiene un cert de Enigma Protector.
Ese es el packer.
Saludos!
Querido compañero no veo la forma de obtener virustotal, me podrías pasar el enlace ? veo que esta app es util en muchos aspectos y varias cosas a descargar que no se ni que es. He visto que el Detect It easy me saca varias cosillas toqueteandolo un poco , conocéis alguna Guía o tutorial para conocer como se utiliza y que te muestra?
|
|
|
En línea
|
|
|
|
Serapis
|
no veo la forma de obtener virustotal, me podrías pasar el enlace ? 'Virustotal', es una página web (que prácticamente todo el mundo preocupado u ocupado por la seguridad conoce). Abres la página y le subes un archivo o le proporcionas una url. La web básicamente entrega el fichero a docenas de antivirus y de regreso te juestra el resultado del análisis (cuantos y cuales antivirus lo detectan como un virus o fichero malicioso) y aparte en general identifica el tipo de fichero de que se trata, en caso de ser un ejecutable, proporciona el S.O. anfitrión, librerías que invoca, etc... incluso si ya fue analizado, te señala la fecha d ela última vez que lo analizaron... La información se despliega en varias fichas (al caso la ficha 'detalles' es la que te puede importar): https://www.virustotal.com/gui/
|
|
|
En línea
|
|
|
|
comando
Desconectado
Mensajes: 9
|
'Virustotal', es una página web (que prácticamente todo el mundo preocupado u ocupado por la seguridad conoce). Abres la página y le subes un archivo o le proporcionas una url. La web básicamente entrega el fichero a docenas de antivirus y de regreso te juestra el resultado del análisis (cuantos y cuales antivirus lo detectan como un virus o fichero malicioso) y aparte en general identifica el tipo de fichero de que se trata, en caso de ser un ejecutable, proporciona el S.O. anfitrión, librerías que invoca, etc... incluso si ya fue analizado, te señala la fecha d ela última vez que lo analizaron... La información se despliega en varias fichas (al caso la ficha 'detalles' es la que te puede importar): https://www.virustotal.com/gui/Tienes toda la razón , lo había visto lo de la pagina pero no pensé que iba a ser así de facil... ya he visto lo que comenta el amigo de mas arriba sobre el Enigma protector... voy a investigar a ver como se puede quitar eso
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Desempakar EXE
« 1 2 »
Ingeniería Inversa
|
Revolutions
|
11
|
17,079
|
5 Diciembre 2011, 18:09 pm
por mjcc
|
|
|
help, desempakar un asprotect 2.xx
Ingeniería Inversa
|
ojady
|
2
|
3,144
|
7 Julio 2009, 00:12 am
por tincopasan
|
|
|
Necesito ayuda para DRIVER PARA TARJETA ATHEROS AR8132 para Backtrack4
Wireless en Linux
|
Califor90
|
0
|
4,226
|
23 Octubre 2010, 19:00 pm
por Califor90
|
|
|
[Tutorial]PECompact Desempakar a Mano y Conseguir el serial
Ingeniería Inversa
|
chEEtos
|
4
|
5,547
|
23 Agosto 2017, 16:00 pm
por LadyLilian
|
|
|
[AYUDA] Necesito ayuda para crear un batch para emuladores de NES
Scripting
|
BeToX_
|
2
|
2,916
|
22 Agosto 2014, 15:51 pm
por BeToX_
|
|