elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Ayuda en delphi
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda en delphi  (Leído 10,223 veces)
w0nt0n

Desconectado Desconectado

Mensajes: 124



Ver Perfil
Ayuda en delphi
« en: 26 Febrero 2012, 13:27 pm »

Buenas.

Estoy intentando crackear un ransomware que está hecho en Borland Delphi 5.0 KOL/MCK según el PeID. El programa estaba empacado con un UPX+packer desconocido+UPX. Llegué más o menos sin problemas al OEP y dumpee el programa.

Se trata de un formulario formado por cuatro partes (que yo haya identificado): el número de teléfono, texto, textbox+botón, texto.

Cargando el  dump me daba un error de que el entry point estaba fuera de sitio pero lo arreglé modificando el valor del BaseOfCode en el encabezado. Revisando las secciones me fijo en que tiene 4 UPX0, UPX1, .rsrc y .mackt y no sé por qué las secciones no son las típicas (el código está desempacado seguro).

Leyendo por ahí encontré el DeDe y el IDR pero apenas me reconoce nada con el IDR y nada con el DeDe. No reconoce ni clases, ni eventos, ni nada.También he probado con el resource hacker pero me da error y no abre. El problema de todo esto creo que tiene que ver con el nombre de las secciones (aunque cambié UPX0->.text y UPX1->.data y nada), o si no con que haya dos secciones unidas en una pero no sé cómo hacer para verificar eso o para arreglarlo.

Lo que he intentado hasta el momento con el olly es ponerle un breakpoint condicional en la class procedure del botón (que es la misma que la del resto de elementos del formulario que muestra), para que salte cuando el mensaje sea WM_LBUTTONUP pero desde allí me es imposible llegar a identificar nada.

Otra cosa que he probado es poniéndole un breakpoint a SendMessage para ver si así era como obtenía el texto del textbox (ya que no tengo ninguna api del estilo de GetWindowText, GetDlgItem, GetWindow, etc.) y no he conseguido nada.

También he probado con breakpoints desde el WM_LBUTTONUP en CallWindowProc, pensando en que igual había mensajes propios del programa que llamasen al procedimiento de obtener el serial del textbox y comprobarlo pero nada.

El programa no muestra una nag pero sí que cambia el texto del textbox a otra cosa. Eso lo hace mediante un SendMessage WM_SETTEXT, pero no soy capaz de tracear hacia atrás: llego a una sección que se usa para muchos de los eventos y no logro hacerlo parar en el evento de "comprobación del serial".

Os dejo una lista de las apis que tiene para ver si os parece que hay alguna interesante que se me haya podido escapar.

user32.BeginPaint
user32.CallNextHookEx
user32.CallWindowProcA
user32.ClientToScreen
user32.ClipCursor
kernel32.CloseHandle
user32.CopyImage
gdi32.CreateBrushIndirect
gdi32.CreateCompatibleDC
gdi32.CreateDIBSection
gdi32.CreateFontIndirectA
gdi32.CreateSolidBrush
kernel32.CreateThread
user32.CreateWindowExA
user32.DefWindowProcA
gdi32.DeleteDC
gdi32.DeleteObject
user32.DestroyCursor
user32.DestroyWindow
user32.DispatchMessageA
user32.DrawTextA
user32.EnableMenuItem
user32.EnableWindow
user32.EndPaint
kernel32.ExitProcess
user32.FillRect
user32.FindWindowA
kernel32.FreeLibrary
kernel32.FreeLibrary
     user32.GetCapture
user32.GetClassInfoA
user32.GetClassLongA
user32.GetClientRect
kernel32.GetCommandLineA
kernel32.GetCurrentThreadId
user32.GetCursorPos
user32.GetDC
kernel32.GetExitCodeThread
kernel32.GetFileAttributesA
user32.GetFocus
user32.GetKeyState
kernel32.GetModuleFileNameA
kernel32.GetModuleHandleA
kernel32.GetProcessHeap
gdi32.GetStockObject
user32.GetSysColor
user32.GetSystemMenu
user32.GetSystemMetrics
kernel32.GetSystemTime
gdi32.GetTextExtentPoint32A
kernel32.GetVersion
user32.GetWindowLongA
user32.GetWindowRect
kernel32.GlobalAlloc
kernel32.GlobalFree
kernel32.HeapAlloc
kernel32.HeapFree
kernel32.HeapReAlloc
     user32.InvalidateRect
user32.IsWindow
user32.IsWindowEnabled
user32.KillTimer
user32.LoadCursorA
user32.LoadIconA
kernel32.LocalAlloc
gdi32.MoveToEx
user32.OffsetRect
user32.PeekMessageA
user32.PostMessageA
user32.PostQuitMessage
kernel32.RaiseException
advapi32.RegCloseKey
user32.RegisterClassA
user32.RegisterHotKey
advapi32.RegOpenKeyExA
advapi32.RegSetValueExA
user32.ReleaseDC
kernel32.ResumeThread
kernel32.RtlUnwind
user32.ScreenToClient
gdi32.SelectObject
user32.SendMessageA
user32.SendMessageA
gdi32.SetBkColor
gdi32.SetBkMode
gdi32.SetBrushOrgEx
user32.SetCursor
     user32.SetFocus
user32.SetForegroundWindow
user32.SetParent
gdi32.SetPixel
gdi32.SetROP2
gdi32.SetStretchBltMode
gdi32.SetTextColor
kernel32.SetThreadPriority
user32.SetTimer
user32.SetWindowLongA
user32.SetWindowPos
user32.SetWindowsHookExA
user32.ShowWindow
gdi32.StretchBlt
user32.SystemParametersInfoA
kernel32.TerminateThread
kernel32.TlsGetValue
kernel32.TlsSetValue
user32.TranslateMessage
kernel32.UnhandledExceptionFilter
kernel32.WaitForSingleObject
user32.WaitMessage
kernel32.WinExec

Saludos!
En línea

No quisiera parecer marica, pero los unicornios son una *****.
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Ayuda en delphi
« Respuesta #1 en: 26 Febrero 2012, 17:54 pm »

Necesariamente necesitas desempaquetarlo, quizás podrías hacer un inline patch, podrías subir el programa para ver que se puede hacer.

Saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: Ayuda en delphi
« Respuesta #2 en: 26 Febrero 2012, 18:02 pm »

Puedes ver formularios y eventos con esta magnifica herramienta, E2A ..

http://www.mediafire.com/file/u7s05ywdf05w3bt/E2A2_2020.rar
En línea

w0nt0n

Desconectado Desconectado

Mensajes: 124



Ver Perfil
Re: Ayuda en delphi
« Respuesta #3 en: 26 Febrero 2012, 18:42 pm »

Gracias a los dos!

El programa ya está desempacado (o al menos eso dice el PeID) y veo las strings que hay pero no hay ninguna interesante. He mapeado algunas funciones con el IDA pero las que podrían ser interesantes no las usa cuando introduzco el serial. No sé si sabría parchearlo para dejarlo sin la parte peligrosa. Puedo eliminar el cambio de las claves de registro o el taskkill que tiene, pero hay un hook al teclado que lo cambio manualmente para que el threadid sea el del proceso y no cero. para evitar los inconvenientes del bloqueo del raton y teclado yo uso un programa de xylibox que se llama RansomHelper (http://www.kernelmode.info/forum/viewtopic.php?f=11&t=650) y que te permite recuperar el foco y arrancar algunos procesos.

En cuanto al E2A lo he probado pero no me saca nada.

Por otro lado el RDG me dice (con el M-A) que está presente el pseudosigner aunque si uso el M-B dice que es borland-delphi 6 ó 7 y realmente parece que está en delphi.

He subido el dumpeado a la siguiente dirección:
+++++++++++++++OJO MALWARE+++++++++++++++
http://www.mediafire.com/?tbc94u0sb23bnud
+++++++++++++++OJO MALWARE+++++++++++++++

Descomprimir y cambiar la extensión a .exe. Hay que tener cuidado con las siguientes direcciones :
406CBF -> Mata al explorer
406CE3 -> Hook al teclado (cambiar el thread id por el del proceso)

Crea claves de registro en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Mucho cuidado si no lo ejecutais en una máquina virtual (cosa que no haría). Si usáis el ransom helper y el olly con el topmost puesto, no deberíais tener demasiados problemas, pero insisto en que hay que tener mucho cuidado porque bloquea la máquina y hay poco que hacer. En caso de infectarse, es una versión del Trojan.Winlock y supongo que alguna herramienta habrá para desinfectarse, pero siempre será mejor no tener que usarla.

Saludos!
En línea

No quisiera parecer marica, pero los unicornios son una *****.
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Ayuda en delphi
« Respuesta #4 en: 28 Febrero 2012, 23:36 pm »

Si es un delphi y tienes un dump hecho en el OEP, usa IDR: http://kpnc.org/idr32/en/

Aun con la IAT rota, IDR hace "magia""... :)

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Ayuda en delphi
« Respuesta #5 en: 29 Febrero 2012, 04:45 am »

Si esperas toda esta semana y un par de días más te puedo ayudar, ahora estoy FULL...

Que esto del malware me interesa ya voy un mes viendo malwares cutres, haber si este es mas ponito je !

Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
w0nt0n

Desconectado Desconectado

Mensajes: 124



Ver Perfil
Re: Ayuda en delphi
« Respuesta #6 en: 5 Marzo 2012, 20:09 pm »

Gracias Nox!

He estado algo liado la semana pasada y me he metido otra vez con este malware y he cambiado la manera de atacarlo pero me surgen nuevos problemas:
Lo que he hecho hasta ahora es descomprimirlo con el upx (upx -d xxx_porno.exe) y lo descomprime sin dar ningún error. El exe que descomprime tiene las secciones correctas (o más correctas ya que este desempacado aún está comprimido), pero el problema es que no arranca. Mirando un poco más veo que el problema está en que la sección de los imports no tiene los permisos correctos, así que los cambio y el olly sí que lo carga.

El problema surge aquí: este "descomprimido" tiene una IAT propia que no coincide con la original (no tenía por qué), pero en la rutina de este segundo desempacado necesita las apis que se encuentran en la IAT del programa original. El Import Reconstructor no me arregla esto (a pesar de encontrar todos los imports en el programa original) porque no lo reconoce como un dumpeado del original (entre otras cosas creo que es porque no tiene la sección en la que están los imports de la original).

He intentado dumpear la sección y agregársela al "descomprimido" a las bravas e intentar arreglar el encabezado PE (que creo que es posible porque creo recordar un tutorial de un reto en el que había que splittear un exe para montarlo correctamente o algo similar, aunque puedo estar orinando fuera del recipiente), pero no he conseguido nada (probablemente debido a que no sé gran cosa). También he intentado agregar las apis de la versión original a la IAT del "descomprimido", pero el programa no las carga (esto también puede deberse a mi ignorancia).

La pregunta que me queda es: ¿es posible alguno de los métodos que planteo? He leído por ahí que no es posible agregar apis a los imports pero me entran dudas cuando veo que con el Pe Editor puedo agregar imports. Sigo a ello.

Saludos!
« Última modificación: 5 Marzo 2012, 20:30 pm por w0nt0n » En línea

No quisiera parecer marica, pero los unicornios son una *****.
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Ayuda en delphi
« Respuesta #7 en: 5 Marzo 2012, 20:41 pm »

Puedes dejar el link del malware sin tocar? así tenemos los dos, para comparar dumpeados :D

Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
w0nt0n

Desconectado Desconectado

Mensajes: 124



Ver Perfil
Re: Ayuda en delphi
« Respuesta #8 en: 6 Marzo 2012, 21:34 pm »

Aquí cuelgo el original con el que estoy trabajando, que es ligeramente distinto al del primero post porque tuve unos problemillas y cuando me lo volví a bajar había cambiado un poco.

++++++++++++++AVISO MALWARE++++++++++++++


http://www.mediafire.com/file/hpf56zllixtkaid/xxx_porno.rar

++++++++++++++AVISO MALWARE++++++++++++++

Saludos!
En línea

No quisiera parecer marica, pero los unicornios son una *****.
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Ayuda en delphi
« Respuesta #9 en: 6 Marzo 2012, 22:39 pm »

No lo reconoce porque no es delphi, y está medio extraño esto... nunca lo había visto... pero bue.. de packers no soy experto sigo mirando.

Y luego de desempacar el UPX te encuentras con otro packer al menos eso me percibo y especulo hasta ahora...

Nox.
« Última modificación: 6 Marzo 2012, 22:53 pm por Иōҳ » En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Descarga] CodeGear RAD Studio - Delphi 2007 + Delphi for PHP « 1 2 3 »
Software
GroK 26 26,839 Último mensaje 14 Mayo 2014, 17:51 pm
por sebaseok
Ayuda conComboBox en delphi 10
Programación General
PopJonas 1 2,190 Último mensaje 15 Abril 2012, 03:18 am
por Shell Root
Ayuda con Delphi :(
Programación General
Anerol92 5 2,339 Último mensaje 7 Julio 2015, 04:01 am
por DarK_FirefoX
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines