elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  ¿Que packer/protector es este?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Que packer/protector es este?  (Leído 5,149 veces)
josue9243

Desconectado Desconectado

Mensajes: 67


Ver Perfil
¿Que packer/protector es este?
« en: 7 Abril 2018, 21:32 pm »

Hola, queria preguntar si alguien conoce cual es el protector o packer de este archivo:

¿Alguna idea para desempaquetar esto o que packer contiene realmente?
Ningun tipo de script me anduvo de EXECryptor.
-> Es una DLL por las dudas

(El tema es que tiene diferentes sections) (Cosa que el comun no lo tiene)


Cheating Death v4.33.4 - (cs 1.6)

RDG Packer Detector v0.7.6 ->
Citar
<<Multiple Protections>>
======================
EXECryptor Deteccion Heuristica
EXECryptor (Compress Code & Data)
EXECryptor v2.1.15
EXECryptor v2.2.x - v2.4.x

PROTECTiON iD ->
Citar
Scanning -> E:\aaaCheating-Death\Cheating-Death\4.33.4\cd.dll
File Compression State : 0 (Not Compressed)
File Type : 32-Bit Dll (Subsystem : Win GUI / 2), Size : 425984 (068000h) Byte(s) | Machine: 0x14C (I386)
Compilation TimeStamp : 0x43988949 -> Thu 08th Dec 2005 19:28:09 (GMT)
[TimeStamp] 0x43988949 -> Thu 08th Dec 2005 19:28:09 (GMT) | PE Header | - | Offset: 0x00000068 | VA: 0x10000068 | -
[!] Executable uses TLS callbacks (1 total... 0 invalid addresses)
[LoadConfig] CodeIntegrity -> Flags 0xA3F0 | Catalog 0x46 (70) | Catalog Offset 0x2000001 | Reserved 0x46A4A0
[LoadConfig] GuardAddressTakenIatEntryTable 0x8000011 | Count 0x46A558 (4629848)
[LoadConfig] GuardLongJumpTargetTable 0x8000001 | Count 0x46A5F8 (4630008)
[LoadConfig] HybridMetadataPointer 0x8000011 | DynamicValueRelocTable 0x46A66C
[LoadConfig] FailFastIndirectProc 0x8000011 | FailFastPointer 0x46C360
[LoadConfig] UnknownZero1 0x8000011
[File Heuristics] -> Flag #1 : 00000000000000001100001000100011 (0x0000C223)
[Entrypoint Section Entropy] : 7.99 (section #5) "8rca826h" | Size : 0x66B28 (420648) byte(s)
[DllCharacteristics] -> Flag : (0x0000) -> NONE
[SectionCount] 7 (0x7) | ImageSize 0x11F000 (1175552) byte(s)
[ModuleReport] [IAT] Modules -> kernel32.dll | user32.dll
[!] EXE Cryptor v2.2.0 - v2.2.6 detected !
- Scan Took : 0.219 Second(s) [0000000DBh (219) tick(s)] [246 of 580 scan(s) done]
En línea

tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: ¿Que packer/protector es este?
« Respuesta #1 en: 8 Abril 2018, 06:30 am »

pues los dos análisis de signatura te dan "EXECryptor." que scripts no te funcionen no quiere decir que no lo sean, muchos scripts están incompletos o echos para otros , como así también lo que se necesita en ollydbg por ejemplo no siempre está bien configurado.Dudo que RDG Packer Detector v0.7.6  le erre en la detención.
En línea

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: ¿Que packer/protector es este?
« Respuesta #2 en: 9 Abril 2018, 03:02 am »

si fuera por vista de secciones mas detector, claramente eso es un execryptor, por otro lado, desde el depurador y la experiencia es donde se pueden desempacar muchos programas, execryptor no es para nada facil, asi que igual tendrias que usar tarde o temprano scripts de otros, (ollydbg+script)

el tema es que es un packer muy poco estudiado, siempre se usa sobre programas nativos, asi que sirve ollydbg, IDA, x64dbg

saludos Apuromafo

pd: a mi me llevo meses desempacar un execryptor, hice tutoriales mostrando al respecto, hay un unpacker de rsi, pero tampoco soluciona todo
En línea

Apuromafo
BloodSharp


Desconectado Desconectado

Mensajes: 812


¡ Hiperfoco !


Ver Perfil WWW
Re: ¿Que packer/protector es este?
« Respuesta #3 en: 9 Abril 2018, 04:16 am »

Hola, queria preguntar si alguien conoce cual es el protector o packer de este archivo:
(...)
Cheating Death v4.33.4 - (cs 1.6)
(...)

Sé que mi pregunta es un poco off-topic pero... ¿A esta altura vale la pena investigar un anticheat bastante flojo que lleva muerto hace años? Hay mejores que superan de manera contundente a este software que lleva, mínimo 10 años muerto, como EAC, ESEA, etc... Y que seguramente vale la pena analizarlos mucho más que CD.


B#
« Última modificación: 9 Abril 2018, 04:20 am por BloodSharp » En línea



josue9243

Desconectado Desconectado

Mensajes: 67


Ver Perfil
Re: ¿Que packer/protector es este?
« Respuesta #4 en: 11 Abril 2018, 03:33 am »

Esos A.C de ahora, son pabadas, simplemente drivers con x chequeos ya me los se, protegen varias cosas que son obvias.

El Cheating Death queria descompilarlo para tenerlo ahi, debido a X razónes.

si fuera por vista de secciones mas detector, claramente eso es un execryptor, por otro lado, desde el depurador y la experiencia es donde se pueden desempacar muchos programas, execryptor no es para nada facil, asi que igual tendrias que usar tarde o temprano scripts de otros, (ollydbg+script)

el tema es que es un packer muy poco estudiado, siempre se usa sobre programas nativos, asi que sirve ollydbg, IDA, x64dbg

saludos Apuromafo

pd: a mi me llevo meses desempacar un execryptor, hice tutoriales mostrando al respecto, hay un unpacker de rsi, pero tampoco soluciona todo

jajajaja, ya te veo meses JAJAJA, que programa habra sido.

Igual no sé después veo el tutorial, en ida pro no se ve nada excepto el entrypoint con algunas cosas mas.

MOD: No hacer doble post. Usa el botón modificar.
« Última modificación: 11 Abril 2018, 05:53 am por MCKSys Argentina » En línea

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: ¿Que packer/protector es este?
« Respuesta #5 en: 12 Abril 2018, 03:07 am »

buscas en el sitio de ricardo (execryptor) y verás de lo que hablo

http://ricardonarvaja.info.info/WEB/buscador.php
En línea

Apuromafo
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Packer C#
.NET (C#, VB.NET, ASP)
KJD 0 2,827 Último mensaje 26 Septiembre 2008, 17:52 pm
por KJD
Deteccion de Packer.
Ingeniería Inversa
Xavierk 6 6,077 Último mensaje 19 Diciembre 2008, 20:41 pm
por Xavierk
packer desconocido
Ingeniería Inversa
Revolutions 7 6,249 Último mensaje 21 Febrero 2011, 11:52 am
por Revolutions
Mejor packer?
Ingeniería Inversa
Wd10 5 3,219 Último mensaje 24 Enero 2013, 07:38 am
por Wd10
Identificar el Protector-Packer « 1 2 »
Ingeniería Inversa
Redesoft 16 8,675 Último mensaje 27 Enero 2014, 01:34 am
por RDGMax
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines