elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Debuggear dll (hkey-w32.dll) protegida con Themida
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Debuggear dll (hkey-w32.dll) protegida con Themida  (Leído 5,347 veces)
cccroswhite

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Debuggear dll (hkey-w32.dll) protegida con Themida
« en: 13 Enero 2016, 01:01 am »

Buenas tardes, esta es mi primera intervención en este foro.

Hace 10 años o más que ya no le he entrado al tema del debugging, antes solía hacerlo con el softice pero no lo tengo a la mano, lo he buscado en google pero no lo he podido encontrar.

No deseo clonar el hardkey. Estoy en la labor de desempaquetar esta dll (hkey-w32.dll), cuya información mostrada por el Protection id es:

[VersionInfo] Company Name : SITEPRO S.A.
[VersionInfo] Product Name : HARDkey API
[VersionInfo] Product Version : 6. 8. 1121. 9
[VersionInfo] File Description : HARDkey API
[VersionInfo] File Version : 6. 8. 1121. 9
[VersionInfo] Original FileName : hkey-w32.dll
[VersionInfo] Internal Name : hkey-w32.dll
[VersionInfo] Version Comments : HARDkey API
[VersionInfo] Legal Trademarks : 6. 8. 1121. 9
[VersionInfo] Legal Copyrights : Sitepro S.A. (C) 2012
[!] Themida v2.0.1.0 - v2.1.8.0 (or newer) detected !

Lo he intentado con el Ollydbg, y diferentes plugins, sin poder quitar la protección de Themida, también he intentado encontrar otro Ollydbg modificado que evite la detección del Themida y nada.

Quisiera saber si conocen algún otro debugger tipo softice que me pueda ayudar en esta labor o como podría proceder para quitar la protección del Themida

PD:
-Ya he realizado la búsqueda en el foro, y en google sin encontrar solución alguna.
Gracias de antemano.

Saludos.
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Debuggear dll (hkey-w32.dll) protegida con Themida
« Respuesta #1 en: 13 Enero 2016, 02:01 am »

Buenas tardes, esta es mi primera intervención en este foro.

Hace 10 años o más que ya no le he entrado al tema del debugging, antes solía hacerlo con el softice pero no lo tengo a la mano, lo he buscado en google pero no lo he podido encontrar.

No deseo clonar el hardkey. Estoy en la labor de desempaquetar esta dll (hkey-w32.dll), cuya información mostrada por el Protection id es:

[VersionInfo] Company Name : SITEPRO S.A.
[VersionInfo] Product Name : HARDkey API
[VersionInfo] Product Version : 6. 8. 1121. 9
[VersionInfo] File Description : HARDkey API
[VersionInfo] File Version : 6. 8. 1121. 9
[VersionInfo] Original FileName : hkey-w32.dll
[VersionInfo] Internal Name : hkey-w32.dll
[VersionInfo] Version Comments : HARDkey API
[VersionInfo] Legal Trademarks : 6. 8. 1121. 9
[VersionInfo] Legal Copyrights : Sitepro S.A. (C) 2012
[!] Themida v2.0.1.0 - v2.1.8.0 (or newer) detected !

Lo he intentado con el Ollydbg, y diferentes plugins, sin poder quitar la protección de Themida, también he intentado encontrar otro Ollydbg modificado que evite la detección del Themida y nada.

Quisiera saber si conocen algún otro debugger tipo softice que me pueda ayudar en esta labor o como podría proceder para quitar la protección del Themida

PD:
-Ya he realizado la búsqueda en el foro, y en google sin encontrar solución alguna.
Gracias de antemano.

Saludos.

Hola!

Quitar themida de una dll (o un exe) es una tarea titánica si se ha empleado virtualización. Sólo usando el plugin StrongOD podrías evitar la detección y éste mismo, a veces, falla.

Ahora, conozco esa dll en particular pues es la que se usa para la comunicacion app-dongle, en las apps protegidas con las dongles EXEKey++.

No sé qué programa estarás atacando, pero si la DLL tiene Themida, no vas a poder avanzar mucho sobre la misma (menos aún si tiene virtualización al 100%) ya que la DLL tiene, además, protecciones propias.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: Debuggear dll (hkey-w32.dll) protegida con Themida
« Respuesta #2 en: 19 Enero 2016, 23:35 pm »

todo programa protegido con themida es re complicado, porque hay muchas rutinas xor sobre el ejecutable, me explico, hay 25 hilos que desencriptan el exe, y algunos son antidebugger, en general es posible desempacar pero hay que fixear luego antidumps y reparar bastante, aún asi por el nombre es un dongle, los dongle del tema

el unico olly pensado para themida es ollyice, además aun reparado en su global,depende de otro ollydbg, strong od puede ayudar en xp, pero en windows x64, tendrías que usar titanengine mas cuantos otros plugins

snat ha hecho un unpack sobre un exe en themida de los últimos, fue denso, no asi imposible, asi que si te lo propones de aquí a un año demás que desempacas un themida, aunque sea con el script de lcf

Saludos Apuromafo
En línea

Apuromafo
cccroswhite

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Debuggear dll (hkey-w32.dll) protegida con Themida
« Respuesta #3 en: 20 Enero 2016, 06:16 am »

Hola apuromafo, y MCKSys Argentina, si tienen razón, está complicado este tema, y como bien dices apuromafo, estoy tratando de hacerlo con la guia de lcf, voy a tener que meterme de lleno en esto. Aunque otra opción sería clonarme el usb dongle, conocen algún programa que pueda clonar usb (considerando que el usb no es reconocido por ningún sistema de archivos - esto lo comento porque en google hay clonadores pero para fat32 y demás). Sino no me quedará de otra que programar algo a medio o bajo nivel (podría usar el c++, o sino el MASM) que lea el puerto USB. Si tienen alguna herramienta que permita capturar la información que emite el puerto USB sería genial.

Saludos y gracias.
En línea

zerointhewill

Desconectado Desconectado

Mensajes: 24


Ver Perfil
Re: Debuggear dll (hkey-w32.dll) protegida con Themida
« Respuesta #4 en: 20 Enero 2016, 17:18 pm »

es verdad lo que dice apuromafo amigos es muy cierto solo el puede  :xD
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿Como Debuggear una DLL Inyectada en VC 2008 Profesional?
Programación C/C++
☺BADMAN 2 2,726 Último mensaje 12 Julio 2010, 20:17 pm
por Eternal Idol
Debuggear programa .NET?
Ingeniería Inversa
.:UND3R:. 5 4,662 Último mensaje 23 Agosto 2011, 00:23 am
por tena
Ayuda Exekey++ hkey-w32.dll y win10 32bits
Ingeniería Inversa
soretito 2 3,585 Último mensaje 29 Enero 2019, 00:18 am
por soretito
debuggear programa automocion
Ingeniería Inversa
Albertoak 5 5,070 Último mensaje 18 Octubre 2020, 20:00 pm
por FFernandez
pasar excepcion al debuggear programa
Ingeniería Inversa
truquinho 8 6,610 Último mensaje 4 Marzo 2023, 23:19 pm
por MCKSys Argentina
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines