Autor
|
Tema: De-Ofuscar Programa en Delphi (Leído 6,523 veces)
|
Revolutions
Desconectado
Mensajes: 113
|
Hola, alguien que me ayude, por favor: Tengo un PACIENTE con los siguientes síntomas:
PROTECCIÓN: Packer UPX 3.08 ofuscado de código
LENGUAJE DE PROGRAMACIÓN: Delphi
He operado y el packer esta erradicado, pero el problema es que no consigo saber como desenfuscar el código para poder SANARLO, Olly en diferentes modalidades SHAdow, SND, dan algún que otro error de excepcion de lectura, en references string nada de la interfaz, algún UNREGISTERED pero fuera de codigo por lo que BREAKPOINT es inútil. Es un ejecutable que pesa 550Kb y al desempacarlo 4550Kb, no tiene base de datos ni nada, limita solo las funciones, botones y menús, que están en disable, lo he intentado con RESHACKER y VEOVEO, pero tiene una rutina que detecta que si se ha pulsado o ejecutado y no esta registrado, sale una nag, informando que se registre para usar esa función, así que botón aceptar y cierra. lo he analizado con DEDE y es antiguo lo abre pero, no muestra nada de procesos ni formularios, en CDR, he conseguido descompilarlo, pero todas las direcciones son de fuera de código. Cualquier ayuda, sugerencia, de otro punto de ataque, pues lo que he podido recordar, no han tenido éxito. GRACIAS
|
|
|
En línea
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
hola: vamos por partes: 1)supongo que el soft sin el packer se ejecuta normalmente. 2)¿tiene para ingresar algún código de registro? 3)fuera de la sección código, ¿te referís a la sección CODE? 4)delphi de por si no crea ofuscación de código, así que deben ser trampas del programador 5) hay varias formas de cazar la zona caliente de las nag en delphi 6) intentaste o leíste esto: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS801-900837Introduccic3%b3n%20a%20las%20cryptos%20por%20HMX0101.rar7)siempre se puede pausar y mirar el stack 8) si da errores en dede debe haber otro packer o tiene rastros del upx. 9)upx 3.08 crea secciones basura en el desempacado de la iat, imagino que eso está solucionado.
|
|
|
En línea
|
|
|
|
Revolutions
Desconectado
Mensajes: 113
|
GRACIAS por la respuesta..... hola: vamos por partes: 1)supongo que el soft sin el packer se ejecuta normalmente. SI 2)¿tiene para ingresar algún código de registro? SI, sale nag al iniciar 3)fuera de la sección código, ¿te referís a la sección CODE? SI, Olly te alerta de esta situación, que el breakpoint no surtirá efecto 4)delphi de por si no crea ofuscación de código, así que deben ser trampas del programador ??, es muy posible 5) hay varias formas de cazar la zona caliente de las nag en delphi ¿las call magicas? 6) intentaste o leíste esto: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS801-900837Introduccic3%b3n%20a%20las%20cryptos%20por%20HMX0101.rarSI 7)siempre se puede pausar y mirar el stack Si pero no veo nada, que me indique la zona a analizar 8) si da errores en dede debe haber otro packer o tiene rastros del upx. En compracion con el original, en PEID esta limpio, en RPG sale que todavia tiene rastro. Ahora bien en DEDE no da errores, sino que no muestra nada de datos lo que supongo que esta en una version de delphi mas nueva que DEDE no puede analizar pues esta desfasado. 9)upx 3.08 crea secciones basura en el desempacado de la iat, imagino que eso está solucionado. para eliminar el packer, he usado Olly, dump del programa y imprec, saltando el codigo de UPX y dandole el EntryPoint correcto.
|
|
|
En línea
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
si dede no muestra los form pero si lo carga, definitivamente está mal hecho el unpack.
|
|
|
En línea
|
|
|
|
Revolutions
Desconectado
Mensajes: 113
|
estoy de acuerdo, esta mal hecho el unpack. visto lo visto.
GRACIAS tincopasan
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
estoy de acuerdo, esta mal hecho el unpack. visto lo visto.
GRACIAS tincopasan
Si el packer es UPX, puedes usar el mismo packer para desempacar...
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
Revolutions
Desconectado
Mensajes: 113
|
Graciassssss, conseguido desempacado, dumpeo e IAT. Estoy traceando, haber si me acerco a la zona caliente. Os pediré ayuda si me atranco.
Saludos
|
|
|
En línea
|
|
|
|
Revolutions
Desconectado
Mensajes: 113
|
Hola quisiera preguntar por el mismo programa, pero tengo una duda, he sacado el comienzo de la rutina del form principal con IDR, este tiene caption value UNREGISTERED y una vez que comprueba si esta registrado lo cambia por el nombre del programa + numero de serial, el problema viene que traceando con Olly para ver donde esta la comprobación del mismo, no consigo que corra, incluso con W32dsm9b con el debugger, llega a dar entrar en un bucle dando FATAL ERROR INSTRUCTION. GRACIAS
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
... el problema viene que traceando con Olly para ver donde esta la comprobación del mismo, no consigo que corra...
A qué te refieres con eso? El programa detecta el debugger? Estás usando plugines? Cuáles? Necesitas especificar un poco más... Saludos! PD: ... incluso con W32dsm9b con el debugger...
W32Dasm no se usa desde hace unos 15 años (más o menos).
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Modificar programa Delphi
Ingeniería Inversa
|
xAnubiSx
|
5
|
5,956
|
21 Agosto 2010, 00:06 am
por xAnubiSx
|
|
|
Ayuda programa en Delphi
« 1 2 »
Ingeniería Inversa
|
AyudaPlis
|
12
|
8,937
|
26 Enero 2011, 13:35 pm
por 79137913
|
|
|
Quitar Limitacion Programa En Delphi
Ingeniería Inversa
|
AyudaPlis
|
5
|
5,186
|
11 Febrero 2011, 05:51 am
por apuromafo CLS
|
|
|
ofuscar html
Desarrollo Web
|
Kase
|
2
|
4,376
|
3 Junio 2011, 09:33 am
por Kase
|
|
|
Decompilar programa Delphi
Ingeniería Inversa
|
oplazais
|
2
|
3,396
|
20 Febrero 2019, 20:25 pm
por apuromafo CLS
|
|