elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  [CONSULTA] Necesito informacion sobre manual unpacking
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [CONSULTA] Necesito informacion sobre manual unpacking  (Leído 3,276 veces)
crackerman

Desconectado Desconectado

Mensajes: 12


Ver Perfil
[CONSULTA] Necesito informacion sobre manual unpacking
« en: 10 Febrero 2017, 23:07 pm »

Hola, como andan gente del foro.

Soy nuevo, pero hace muchos años que me dedico a la programacion y hasta hace unos pocos por el reversing, todo de forma autodidacta.

Y eh visto que el packer themida, era uno de los mas dificiles, asi que emprendi el camino a ver si podia lograr algo, cabe destacar que no soy un experto pero tampoco soy un novato, tengo conocimientos ensamblador, reversing, etc... Pero estoy perdido no se de donde conseguir informacion concreta sobre manual unpacking de las tecnicas que usa themida, solo encuentro tutoriales de como desempacarlo con scrpits, o tutoriales muy complicados que van muy al grano, y no aprendo nada.

En fin cual seria el camino ideal para poder con este packer? Gracias por leer ;).
En línea

Geovane

Desconectado Desconectado

Mensajes: 208



Ver Perfil
Re: [CONSULTA] Necesito informacion sobre manual unpacking
« Respuesta #1 en: 11 Febrero 2017, 14:47 pm »

Melhor opção seria os plugins para ollydbg .
En línea

Para servicios, envíe un mensaje privado, sólo para servicios en curso hasta fecha de 10/06/2019
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: [CONSULTA] Necesito informacion sobre manual unpacking
« Respuesta #2 en: 13 Febrero 2017, 18:52 pm »

realmente quieres desempacarlo? tardarás posiblemente 1 mes en depurarlo si aun no sabes mucho

los script automaticos, incluyen experiencia de muchos temas, si eres capaz de leer las instrucciones y ver como funciona deberias saber como lo hace

respecto a tutoriales yendo al grano..si hay de ncr, de snat y uno mio con snat

sea cual sea el caso themida es un hueso duro de roer y no es algo que se pueda decir  oye desempacamelo, aunque sea por 100000 dolares, no va en eso

ademas themida tiene 2 tipos de máquina virtual cisc risc lo que hace que sea aun mas complejo sacar cosas genericas




digamos una idea basica de unpacking

1) hay algunos thread con antidebug, al terminar llegas al oep

2) hay apis que estan emuladas, apis que estan desordenadas, apis que estan protegidas por vm, apis normales que puedes recuperar aveces en puntos mágicos...

3) al dumpear tienes que agrgar varios heap, lo que hace que si estan mal distribuidos en el nuevo exe..tendras que cargarlo en el mismo modulo o bien buscar alguna forma de parchar para que lo acepte

4) a pesar de desempacar y agregar antidump, logras tener el programa corriendo, nada asegura que no hubo algun thread que ha dejado dañado alguna porcion del programa, que trabaje esperando un evento que posiblemente no ocurrirá, deberas descifrar la porcion y dejarla descifrada...

5) a pesar de desempacar, descifrar, parchar reparar, nadie te asegura que el programa no verifique nuevos crc, osea ademas tienes que reparar pequeños algoritmos que validen de la misma forma...



luego de eso tienes un programa desempacado y funcional, antes de eso, tienes que saber

las apis que antes eran  jmp dword 4010000 ahora son del tipo jmp lugar de themida

y posiblemente nunca tienees tu iat original, osea debes re-construir...
coloca buscar "themida"

http://ricardonarvaja.info.info/WEB/buscador.php

y posiblemente tengas mas informacion

saludos cordiales
Apuromafo

pd: es mas facil intentar inlinear con dup, sabiendo que parcharás, a desempacarlo


En línea

Apuromafo
crackerman

Desconectado Desconectado

Mensajes: 12


Ver Perfil
Re: [CONSULTA] Necesito informacion sobre manual unpacking
« Respuesta #3 en: 13 Febrero 2017, 21:33 pm »

Gracias por tu respuesta concreta, bueno, vere que hago, el tiempo es relativo, ya que es por el merito hecho de poder hacerlo, entender como funcionan estos packers tan complejos, seguire investigando, me leere algunos tutos de la pagina de ricardo.

PD: Hay packer peor que este?
En línea

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: [CONSULTA] Necesito informacion sobre manual unpacking
« Respuesta #4 en: 19 Febrero 2017, 03:29 am »

Gracias por tu respuesta concreta, bueno, vere que hago, el tiempo es relativo, ya que es por el merito hecho de poder hacerlo, entender como funcionan estos packers tan complejos, seguire investigando, me leere algunos tutos de la pagina de ricardo.

PD: Hay packer peor que este?

si bastantes, veamos vmprotect, winlicense, enigmaprotector entre otros, además considera que estos son packer para x86 , tambien existen plataformas x64 y .net  osea hay un verdadero mundo...de protecciones
En línea

Apuromafo
besoeso

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: [CONSULTA] Necesito informacion sobre manual unpacking
« Respuesta #5 en: 25 Abril 2017, 20:34 pm »

@apuromafo

Tienes algun tuto o infor para Themida x64 NET ?


Saludos
En línea

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: [CONSULTA] Necesito informacion sobre manual unpacking
« Respuesta #6 en: 25 Abril 2017, 20:50 pm »

al minuto no recuerdo que hubieran muchos sobre el tema, casi siempre terminan igual usando tools de 3eros para dumpear y reparar todo.

el foro donde mas hablan de packers seria tuts4you y exetools :)

Saludos Apuromafo
En línea

Apuromafo
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
NECESITO INFORMACION SOBRE LOS MONITORES DE COMPUTACION TRC
Electrónica
williamspx 1 2,217 Último mensaje 22 Febrero 2005, 06:28 am
por elcelta
Consulta sobre la ubicación de un manual/guía/tutorial
Sugerencias y dudas sobre el Foro
nill0000000 2 2,868 Último mensaje 11 Junio 2009, 19:23 pm
por nill0000000
Necesito informacion sobre el inicio [URGENTE] « 1 2 »
Seguridad
CAR3S? 16 7,936 Último mensaje 6 Octubre 2011, 00:22 am
por CAR3S?
IMPORTANTE NECESITO INFORMACIÓN SOBRE ESTO
Dudas Generales
MartinezdelAmor 5 2,573 Último mensaje 28 Agosto 2012, 00:01 am
por Mafmaestro
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines