elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  ayuda para desempakar un .exe
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: ayuda para desempakar un .exe  (Leído 4,544 veces)
comando

Desconectado Desconectado

Mensajes: 9


Ver Perfil
ayuda para desempakar un .exe
« en: 3 Junio 2022, 15:08 pm »

Buenas a todos , me gustaría coger cierta utilidad del codigo de un .exe y se me está complicando mucho a ver si alguien puede darme algo de luz al tema.

Cuando meto el .exe en cuestión a un decompilador ( he probado varios) , principalmente:
GrayWolf , VB_Decompiler o IlSpy

Me arroja un un error y no me saca nada de información y me dice que el archivo puede estar Empaquetado (packed)

he intentado averiguar que packer lleva con alguna herramienta como , RDG PAcker Detector ,
PEid , ProtectionID y todos me salta error no me saca nada de información al respecto ya no se que hacer para ver que tipo de packer lleva el archivo.

El RDG packer detector en M-A no hace nada y en M-B después de cargar 1 min igual ( nada)

el PEID me sale abajo : Not a Valid PE file

y el Protection ID: me sale un texto en azul que no da tiempo a leerlo y me tira la consola  full lineas de *DATA DAMAGED*

ya no se como seguir chicos, alguien se le ocurre alguna idea ? tiene que tener algun packer gordo porque está costando bastante...

acabo de probar el Ollydbg y me dice que no es un archivo de 32 bit .

me tira error y tampoco me saca nada , me estoy volviendo loco , alguna forma tiene que haber  >:(

EDIT: descubrí como pasarle el UPX y me tira el siguiente error :

https://gyazo.com/8fed96a342cfad1c815c4c3bad357f80

ahora me he quedado ya sin saber que hacer ningún desempacker me lee nada , porque puede ser? puede haber alguna cifrado especial o algo que se me escapa?

EDIT2: ya que estoy a punto de la rendición señores adjunto el archivo a ver si alguien los tiene como el caballo de espartero y consigue el codigo haciendo sus pruebas y que nos pueda ilustrar : https://www.mediafire.com/file/nb5xfot1wylsxwe/LostChaos.exe/file


EDIT 3: Despues de estar cacharreando por ahí como bien dijo el compi mas abajo efectivamente si lo pasas por Virus Total te detecta 2 CERT de Enigma protector ...
https://gyazo.com/6961373efc300a881597c477fcb13482

Digo bueno pues le hago paso el MegaDump pero me saca 0 dumps , sigo viendo la info del VirusTotal y tenía mis dudas sobre que era lo que sale en ROJO "TRAPMINE" : https://gyazo.com/02ee9ca3b9528c0776d7651a9d0a5489
he estado buscando y aqui está :  https://trapmine.com
Me mosqueba el hecho de que en DETECT it EASY ni el PEID ni el RDG entre otros me sacase nada de INFO  y yo creo que la culpa es del famoso "TRAPMINE" lo han protegido muchísimo por lo que estoy viendo para los ataques de exploit y malware.

sabemos que tiene ENIGMA y el TRAPMINE primero sería quitar el TRAPMINE seguramente ya que si del tiron va a atacar a ENIGMA no te saca nada habría que quitar lo otro vosotros que creeis? alguna idea para seguir con el proyecto?
:rolleyes:
« Última modificación: 6 Junio 2022, 13:18 pm por comando » En línea

Danielㅤ


Desconectado Desconectado

Mensajes: 1.173


🔵🔵🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: ayuda para desempakar un .exe
« Respuesta #1 en: 3 Junio 2022, 18:23 pm »

Hola, tal vez ese ejecutable está comprimido con UPX, prueba a descomprimirlo y después intenta averiguar el packer que usa.


Saludos
En línea

¡Regresando como cual Fenix! ~
Bomber Code © 2022 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!
comando

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: ayuda para desempakar un .exe
« Respuesta #2 en: 3 Junio 2022, 18:43 pm »

Hola, tal vez ese ejecutable está comprimido con UPX, prueba a descomprimirlo y después intenta averiguar el packer que usa.


Saludos

Realmente creo que me va  ayudar el UPX por lo que he estado viendo pero desconozco la forma de instalarlo me lo descargo de Github pero no me abre , he estado viendo que se utiliza mediante la consola de powershell pero no encuentro la forma de hacerlo correr , una ayudita?  :xD
En línea

Danielㅤ


Desconectado Desconectado

Mensajes: 1.173


🔵🔵🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: ayuda para desempakar un .exe
« Respuesta #3 en: 3 Junio 2022, 20:38 pm »

Hace muchos años que no uso el UPX, sabía usarlo para comprimir ejecutables, pero si no mal recuerdo tenés que abrir la CMD y ejecutar el UPX con el parámetro del nombre del exe o la ruta de éste y presionar ENTER, una vez comprimido (que de hecho apenas dura unos segundos la compresión) te informará el UPX en la consola CMD que la compresión fue exitosa y el radio de compresión, es decir que tanto se pudo comprimir ese exe.

Por otro lado lo que podes hacer es usar el software Resource Hacker e intentar abrir ese exe LostChaos.exe para verificar si tiene alguna compresión, porque el Resource Hacker suele informarte cuando un ejecutable suele estar comprimido y no puede abrirlo/cargarlo para ser modificado.

Ahora un consejo, siempre que hagas pruebas haz una copia constantemente de ese ejecutable porque puede suceder que algún software de los que has probado lo haya modificado y por eso todos te dan error, siempre tenés que trabajar con copias nuevas y hacer las pruebas en las copias nuevas.

Yo te diría que vuelvas a descargar o a obtener ese exe nuevamente de donde lo has obtenido por las dudas algún software te lo haya modificado y no te hayas dado cuenta.


Saludos
« Última modificación: 3 Junio 2022, 20:40 pm por Danielㅤ » En línea

¡Regresando como cual Fenix! ~
Bomber Code © 2022 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!
comando

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: ayuda para desempakar un .exe
« Respuesta #4 en: 3 Junio 2022, 21:23 pm »

Hace muchos años que no uso el UPX, sabía usarlo para comprimir ejecutables, pero si no mal recuerdo tenés que abrir la CMD y ejecutar el UPX con el parámetro del nombre del exe o la ruta de éste y presionar ENTER, una vez comprimido (que de hecho apenas dura unos segundos la compresión) te informará el UPX en la consola CMD que la compresión fue exitosa y el radio de compresión, es decir que tanto se pudo comprimir ese exe.

Por otro lado lo que podes hacer es usar el software Resource Hacker e intentar abrir ese exe LostChaos.exe para verificar si tiene alguna compresión, porque el Resource Hacker suele informarte cuando un ejecutable suele estar comprimido y no puede abrirlo/cargarlo para ser modificado.

Ahora un consejo, siempre que hagas pruebas haz una copia constantemente de ese ejecutable porque puede suceder que algún software de los que has probado lo haya modificado y por eso todos te dan error, siempre tenés que trabajar con copias nuevas y hacer las pruebas en las copias nuevas.

Yo te diría que vuelvas a descargar o a obtener ese exe nuevamente de donde lo has obtenido por las dudas algún software te lo haya modificado y no te hayas dado cuenta.


Saludos

Gracias Daniel por tu atención , soy consciente de eso , aún no he podido modificar el .exe por lo tanto no puede estar corrupto quiero pensar, y como bien dices no hay problema lo tengo en un Zip y cuando hago algo que toque algún parametro saco del zip nuevamente el ejecutable  ;D

Como bien dices es así como funciona el upx , lo conseguí utilizar , no hay mucha información al respecto por ahí.

Ahora que me estoy dando cuenta , por lo que tengo entendido si un archivo está empaquetado debería pesar ( en kbytes) una cantidad mas pequeña .
y en este archivo de LostChaos me marca 110.155 KB me parece bastante grande la verdad ahora que me doy cuenta , quizás a lo mejor no está empaquetado? pero si no lo está cualquier decompiler me lo debería abrir no ?  :o


Aun así con la info que me has dado puedo continuar probando cositas  ;-)
« Última modificación: 3 Junio 2022, 21:27 pm por comando » En línea

comando

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: ayuda para desempakar un .exe
« Respuesta #5 en: 3 Junio 2022, 21:35 pm »


Por otro lado lo que podes hacer es usar el software Resource Hacker e intentar abrir ese exe LostChaos.exe para verificar si tiene alguna compresión, porque el Resource Hacker suele informarte cuando un ejecutable suele estar comprimido y no puede abrirlo/cargarlo para ser modificado.


EDIT: Acabo de probar el Resource Hacker y por fin es la primera Herramienta que me arroja algo de información estoy contento por ello  ;-) , ahora claro viene mi dilema , intepretar si me ha dicho algo relevante , mis conocimientos se acaban llegados a este punto  :rolleyes:

https://gyazo.com/075bd2f2d7a0ec2600c08472eff87aea
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.131


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: ayuda para desempakar un .exe
« Respuesta #6 en: 3 Junio 2022, 23:32 pm »

Hola!

Si miras los details de Virustotal verás que tiene un cert de Enigma Protector.

Ese es el packer.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

comando

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: ayuda para desempakar un .exe
« Respuesta #7 en: 4 Junio 2022, 15:22 pm »

Hola!

Si miras los details de Virustotal verás que tiene un cert de Enigma Protector.

Ese es el packer.

Saludos!

Querido compañero no veo la forma de obtener virustotal, me podrías pasar el enlace ? veo que esta app es util en muchos aspectos y varias cosas a descargar que no se ni que es.

He visto que el Detect It easy me saca varias cosillas toqueteandolo un poco , conocéis alguna Guía o tutorial para conocer como se utiliza y que te muestra?
 
En línea

Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 3.264


Ver Perfil
Re: ayuda para desempakar un .exe
« Respuesta #8 en: 4 Junio 2022, 18:13 pm »

Citar
no veo la forma de obtener virustotal, me podrías pasar el enlace ?
'Virustotal', es una página web (que prácticamente todo el mundo preocupado u ocupado por la seguridad conoce).

Abres la página y le subes un archivo o le proporcionas una url.

La web básicamente entrega el fichero a docenas de antivirus y de regreso te juestra el resultado del análisis (cuantos y cuales antivirus lo detectan como un virus o fichero malicioso) y aparte en general identifica el tipo de fichero de que se trata, en caso de ser un ejecutable, proporciona el S.O. anfitrión, librerías que invoca, etc... incluso si ya fue analizado, te señala la fecha d ela última vez que lo analizaron... La información se despliega en varias fichas (al caso la ficha 'detalles' es la que te puede importar):
https://www.virustotal.com/gui/

En línea

comando

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: ayuda para desempakar un .exe
« Respuesta #9 en: 4 Junio 2022, 18:26 pm »

'Virustotal', es una página web (que prácticamente todo el mundo preocupado u ocupado por la seguridad conoce).

Abres la página y le subes un archivo o le proporcionas una url.

La web básicamente entrega el fichero a docenas de antivirus y de regreso te juestra el resultado del análisis (cuantos y cuales antivirus lo detectan como un virus o fichero malicioso) y aparte en general identifica el tipo de fichero de que se trata, en caso de ser un ejecutable, proporciona el S.O. anfitrión, librerías que invoca, etc... incluso si ya fue analizado, te señala la fecha d ela última vez que lo analizaron... La información se despliega en varias fichas (al caso la ficha 'detalles' es la que te puede importar):
https://www.virustotal.com/gui/



Tienes toda la razón , lo había visto lo de la pagina pero no pensé que iba a ser así de facil... ya he visto lo que comenta el amigo de mas arriba sobre el Enigma protector... voy a investigar a ver como se puede quitar eso  ::)
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Desempakar EXE « 1 2 »
Ingeniería Inversa
Revolutions 11 14,740 Último mensaje 5 Diciembre 2011, 18:09 pm
por mjcc
help, desempakar un asprotect 2.xx
Ingeniería Inversa
ojady 2 2,458 Último mensaje 7 Julio 2009, 00:12 am
por tincopasan
Necesito ayuda para DRIVER PARA TARJETA ATHEROS AR8132 para Backtrack4
Wireless en Linux
Califor90 0 3,192 Último mensaje 23 Octubre 2010, 19:00 pm
por Califor90
[Tutorial]PECompact Desempakar a Mano y Conseguir el serial
Ingeniería Inversa
chEEtos 4 4,064 Último mensaje 23 Agosto 2017, 16:00 pm
por LadyLilian
[AYUDA] Necesito ayuda para crear un batch para emuladores de NES
Scripting
BeToX_ 2 1,656 Último mensaje 22 Agosto 2014, 15:51 pm
por BeToX_
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines