Autor
|
Tema: Ayuda con exe que al hacer BP se cierra o cuelga (Leído 3,769 veces)
|
Fucko
Desconectado
Mensajes: 239
Fucko the Clown Rules!!!
|
Hola, tengo un exe empacado, no se el packer, ningun detector lo detecta, pero se que está empacado.... si lo abro en el olly, y lo corro, corre sin problemas... el problema llega cuando quiero hacer algun BP.... cuando hago BP, la aplicación se cierra, o tira algun error inexplicable, o se queda en "running" pero no puedo volver a tomar control de ella.... que podría ser? o como hacer el BP para seguir con f8?? gracias
|
|
|
En línea
|
Cree en los que buscan la verdad, duda de los que la han encontrado...
|
|
|
yako-_-
Desconectado
Mensajes: 157
Heroes Del Silencio
|
Hola!! Prueva con este detector para tener mas información y saber por donde atacar. Tiene dos metodos de escaneo prueva con los dos, con este programa es raro que te falle. en este web lo tienes amen de muchos otros de gran utilidad http://www.ech2004.net/ver_herr.php?id=1Un saludo
|
|
|
En línea
|
Para que vivir, pudiendo trabajar los Domingos
Yako-_-
|
|
|
Fucko
Desconectado
Mensajes: 239
Fucko the Clown Rules!!!
|
Hola, no se cual de todos me decis, pero ni el rdg, el peid, el exeinfo lo detectan.... solo me dicen que es un exe con 4 secciones el exeinfo.... viendo por dentro vi que aparece la palabra .aspack, pero no es aspack... ningun detector de aspack lo detecta... el exe tiene 1 año de viejo ya.
|
|
|
En línea
|
Cree en los que buscan la verdad, duda de los que la han encontrado...
|
|
|
tena
Desconectado
Mensajes: 668
|
prueba con HBP
slds
|
|
|
En línea
|
|
|
|
LSL
Desconectado
Mensajes: 239
Cls
|
para el peid, hay un plugin, el PackingStone que te dice si el archivo esta empaquetado, aunque no te dice el nombre del packer.
Y el olly cuando lo abre, tambien te dice si está empacado o no. Cuando esta empacado, da el siguiente mensaje --------------------------- Compressed code? --------------------------- Quick statistical test of module 'xxxxxx' reports that its code section is either compressed, encrypted, or contains large amount of embedded data. Results of code analysis can be very unreliable or simply wrong. Do you want to continue analysis? ---------------------------
Ademas puede tener proteccion de antidebugger, deberias correrlo con olly shadow + plugin phanton
|
|
|
En línea
|
Saludos.
LSL.
|
|
|
Fucko
Desconectado
Mensajes: 239
Fucko the Clown Rules!!!
|
gracias... el soft corre bien... incluso las nuevas versiones de themida las puedo hacer correr sin problemas XD voy a probar otros olly, se 100% que está empacado. me sale el mensaje del olly y tambien los detectores de packers lo detectan como empacado, pero no el nombre del packer, ya que no debe ser comercial. estoy usando en este momento ollyICE Themida + strongOD veo que me genera multiples threads dentro del log.... http://www.mediafire.com/download.php?mmqmjrtim2x
|
|
« Última modificación: 22 Mayo 2010, 17:42 pm por Fucko »
|
En línea
|
Cree en los que buscan la verdad, duda de los que la han encontrado...
|
|
|
Fucko
Desconectado
Mensajes: 239
Fucko the Clown Rules!!!
|
ME parece que no detecta el olly... sino, que al crear otro thread, cierra el que estoy... pero ahora... como seguir en el otro thread, si yo continuo con F8, al llegar a kernel32.ExitThread no puedo continuar...
|
|
« Última modificación: 22 Mayo 2010, 17:56 pm por Fucko »
|
En línea
|
Cree en los que buscan la verdad, duda de los que la han encontrado...
|
|
|
LSL
Desconectado
Mensajes: 239
Cls
|
en un post de otro hilo cercano, MCKSys Argentina, me ha dejado su archivo de signaturas externas para el peid, prueba con ellas, a ver que te dice del packer de tu programa.
|
|
|
En línea
|
Saludos.
LSL.
|
|
|
Fucko
Desconectado
Mensajes: 239
Fucko the Clown Rules!!!
|
Ahora con ese signature, me sale esto: Private EXE v2.0a *
pero con el scan hardcore... el normal y el deep no detecta nada..... voy a ver que encuentro XD gracias de nuevo.
|
|
|
En línea
|
Cree en los que buscan la verdad, duda de los que la han encontrado...
|
|
|
|
|