elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Ayuda con OllyDBG y Themida, leyendo memoria
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda con OllyDBG y Themida, leyendo memoria  (Leído 14,616 veces)
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Ayuda con OllyDBG y Themida, leyendo memoria
« Respuesta #20 en: 10 Agosto 2011, 03:27 am »

Citar
Themida es un packer muy dificil, pero no imposible, claro que yo con mi nivel no puedo, hacerlo, pero hay gente que sí.

http://forum.tuts4you.com/index.php?act=idx

En este foro, hay personas que te pueden ayudar con el desempacado con themida, hay muchos que lo han logrado con versiones anteriores a la actual.

Yo también.

Tambien puedes pasarte por Crackalatinos, el grupo en google, que hay algunos que han tocado themida y te pueden ayudar.

Ahora viene fly que sabe más del tema sobre themida, él hizo un inline patching a winlicence que son primos hermanos.

Fly = MCKSys Argentina, si deseas enviale un MP.

Nox.


En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Karman


Desconectado Desconectado

Mensajes: 673



Ver Perfil WWW
Re: Ayuda con OllyDBG y Themida, leyendo memoria
« Respuesta #21 en: 10 Agosto 2011, 04:31 am »

Themida no tiene protección contra inyección, dicha protección debe estar dentro del código del anticheat (si tiene un driver suelen hookear ntcreatesection o ntcreatethread para detectar inyecciones), fuera de eso, que te detecte el CE puede ser por varios motivos (detectar el driver del CE [si está corriendo] o detección del proceso del CE), podrías (si es que se puede, dado que nunca usé el CE) desactivar el driver y ver si te lo sigue detectando, si no es así, prueba cambiar el nombre del ejecutable, si cambiando el nombre lo sigue detectando puede ser por el nombre de la ventana... etc... de todas formas, para ver el código del programa puedes utilizar algún antirootkit como el Rootkit Unhooker o alguno parecido para dumpear el proceso (con eso ya puedes ver parte del código [que no esté virtualizado]), si está virtualizado hasta hoy no hay ningún método 100% funcional para desvirtualizar así que esa parte no podrás verla... je

S2
En línea

ŞCØRPIØN-X3

Desconectado Desconectado

Mensajes: 119


Ver Perfil
Re: Ayuda con OllyDBG y Themida, leyendo memoria
« Respuesta #22 en: 10 Agosto 2011, 19:39 pm »

ninguna de esos posibles problemas son, ya habia probado tiempo atras, modifique todo el code del ce, la imagen la posicion de los command, el caption de la ventana, los datos de autor, los caption de los botones, el tamaño del form, y otras cosas mas y no da resultado, al juego le deshabilite la protexion y no lo detecta al CE mientras este "inactivo", recien lo detecta cuando selecciono el proceso del juego, osea detecta alguna dll que se inyecta o algo asi :P y supongo que el juego aparte de la proteccion que le desactive (X-Trap) tiene el Themida y la proteccion propia del juego... xD
En línea

Karman


Desconectado Desconectado

Mensajes: 673



Ver Perfil WWW
Re: Ayuda con OllyDBG y Themida, leyendo memoria
« Respuesta #23 en: 10 Agosto 2011, 20:03 pm »

no, lo que debe detectar es cuando el CE intenta tener acceso a la memoria del juego (lo más probable es una protección por driver: ntprotectvirtualmemory, ntreadvirtualmemory), puedes probar lo siguiente: utiliza algún programa como process hacker o el process explorer para suspender el proceso del juego, luego trata de descargar el driver mediante el RU y recién ahí intenta usar el CE (puedes probar tb sin descargar el driver).

S2
En línea

ŞCØRPIØN-X3

Desconectado Desconectado

Mensajes: 119


Ver Perfil
Re: Ayuda con OllyDBG y Themida, leyendo memoria
« Respuesta #24 en: 10 Agosto 2011, 20:42 pm »

oks ahora pruebo haber si puedo.. grax ;) enseguida les comento :P
------------------
Probe suspendiendo el proceso pero sigue igual, y como es eso de descargar el driver por medio del RU? Gracias por la ayuda :)
« Última modificación: 10 Agosto 2011, 21:39 pm por ŞCØRPIØN-X3 » En línea

ŞCØRPIØN-X3

Desconectado Desconectado

Mensajes: 119


Ver Perfil
Re: Ayuda con OllyDBG y Themida, leyendo memoria
« Respuesta #25 en: 12 Agosto 2011, 03:59 am »

:/ alguna idea...?
En línea

Draover

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Ayuda con OllyDBG y Themida, leyendo memoria
« Respuesta #26 en: 19 Septiembre 2011, 11:06 am »

Oye amigo resolviste el problema de desepaquetar themida¿?, estoy atorado ahi con un programa :-(, saludos
En línea

Páginas: 1 2 [3] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines