elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Consulta: UPolyx 0.5 o Themida, o los 2?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Consulta: UPolyx 0.5 o Themida, o los 2?  (Leído 4,843 veces)
g6

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Consulta: UPolyx 0.5 o Themida, o los 2?
« en: 25 Noviembre 2007, 22:14 pm »

Buenas gente, estoy trabajando en desproteger una aplicación y estoy teniendo problemas con las protecciones antidebugger.
Les presento el caso:
---Usando OllyDbgAdvanced_1.2 me lo detecta igual y se cierra.
---Usando la versión de Shadow, no lo detecta, pero se cierra cuando le doy al primer F9.
---Ocultando Olly con HideToolz no hay problema, pero al parecer es como si corriese algo en forma "encapsulada" o "protegida" no sé bien como decirlo ya que soy relativamente nuevo en esto.
El caso en particular es que este programa trabaja con el kernel32.dll usando el WriteProcessMemory y no puedo setear un breakpoint en acceso al mismo ya que por más que oculte el debugger o lo que sea al parecer internamente cierra el hilo que se encarga de eso y sigue funcionando "mostrándose" como que nada pasó.
Mi pregunta es si estoy bien encaminado o no, ya que el PEiD del Universal Extractor me detecta lo siguiente:

Y el PEiD del OLLYDBG FULL 0_1_1_YDbg.rar me tira esto:


La duda es de que se trata y como tengo que encarar el tema...
¿primero tengo que sacar UPolyx y luego Themida?
¿Puedo seguir algún tutorial ya armado para este caso en particular?
¿Es Themida o Winlicense?

Sepan disculpar, pero la verdad ya no sé que más hacer y les juro que no es de vago pero esto me desvela de solo saber como puedo hacer. :-(
Gracias desde ya.... y piedad
En línea

tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: Consulta: UPolyx 0.5 o Themida, o los 2?
« Respuesta #1 en: 25 Noviembre 2007, 23:43 pm »

Proba pasandole el RDG Packer detector para saber con que esta empacado.

el link lo podes encontrar aqui mismo en herramientas..

Saludos
tena
En línea

g6

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Consulta: UPolyx 0.5 o Themida, o los 2?
« Respuesta #2 en: 26 Noviembre 2007, 01:27 am »

Proba pasandole el RDG Packer detector para saber con que esta empacado.

el link lo podes encontrar aqui mismo en herramientas..

Saludos
tena

Gracias tena... pero ahora entiendo menos, por donde va la cosa?
Themida, Upolyx o Xprotector? :-\
Te dejo screen de RDG PAcket Detector 0.6.5


Edit: Empecé a leer estos tutoriales a ver si encuentro algo desde adentro con que identificarlo (que Dios se apiade de mí... :P), les dejo los links:

Tutorial en Ricardo Narvaja Teoria Themida por Akira
Tutorial en Ricardo Narvaja Teoria Xprotector por Akira
« Última modificación: 26 Noviembre 2007, 04:09 am por g6 » En línea

solidcls

Desconectado Desconectado

Mensajes: 72


Ver Perfil
Re: Consulta: UPolyx 0.5 o Themida, o los 2?
« Respuesta #3 en: 26 Noviembre 2007, 15:33 pm »

Tiene pinta de themida

solid.
En línea

Solid [CrAcKsLaTiNoS]
Karman


Desconectado Desconectado

Mensajes: 673



Ver Perfil WWW
Re: Consulta: UPolyx 0.5 o Themida, o los 2?
« Respuesta #4 en: 26 Noviembre 2007, 16:26 pm »

Da el nombre del programa (o subilo y pasá el link)... así lo vemos y capaz alguno le encuentra la vuelta...

S2
En línea

g6

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Consulta: UPolyx 0.5 o Themida, o los 2?
« Respuesta #5 en: 28 Noviembre 2007, 04:55 am »

Al parecer es un Themida, digo porque eso se ve en la parte de memoria del Olly.
Es durísimo de laburar y eso es lo que estoy buscando, no pido que me den la posta simplemente que pueda laburar y poner los breakpoints donde yo quiera, nada más.

Lo más cercano a poder "caminar" por el mismo fue usando la versión de un árabe de Olly llamada HanOlly que aparentemente viene con un driver para evitar las llamadas ZwNosecuanto del kernel (si esa maldita parte del ring0)

No sé si podrán ayudarme ya que es parcheador en memoria de un  j u e g o  y tendrían que bajarse el  j u e g o  e instalarlo y crearse la cuenta, etc. etc.
Les dejo el programa
...y la versión de Olly con la que estoy probando y parece funcionar, pero es escasa mi sapiencia sobre las APIS del sistema(ya probé OllyforThemida, Olly y los plugins OllyDbgAdvanced_1.2,IsDebugger y Phantom todos juntos como dice en este tutorial. Así también la versión de Shadow y a su vez todas ellas con HideToolz también)
Creo que estoy cerca con esta versión pero me gustaría mucho la opinión de los que más saben para saber si sigo por este camino o busco otra forma.

Disculpen las palabras separadas pero sé que el  a d m i n  del  j u e g o  está constantemente en la búsqueda para volver a proteger. :o
Si alguno está realmente interesado en que es lo que realmente busco (procedimiento interno) por favor contáctese conmigo.
Gracias
« Última modificación: 29 Noviembre 2007, 18:53 pm por g6 » En línea

francoeye

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Consulta: UPolyx 0.5 o Themida, o los 2?
« Respuesta #6 en: 6 Noviembre 2009, 21:44 pm »

bueno yooo tambien tengo una complicacion no soy experto en este tema
por lo tanto les pido su ayuda
hay un programa de un juego que busco crackear y no se exactamente como extraerlo bien parece UPolyx por favor...


y gracias por su atencion

aqui les dejo el link

http://www.bot-cave.net/

vas a Download latest o Mirror 1


gracias por tu cooperacion
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
como puedo desempaquetar UPolyX v0.5?
Ingeniería Inversa
kurorolucifer 2 5,181 Último mensaje 13 Mayo 2011, 06:00 am
por apuromafo CLS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines