Autor
|
Tema: ¿Qué tipo de protección es esta? (Leído 4,246 veces)
|
josue9243
Desconectado
Mensajes: 67
|
Hola, estoy descompilando un programa que útiliza Themida, me parece que es de las últimas versiones porque no aparece en ProtectionId para ver el packer, y versiones antiguas de dicho programa si aparece. El caso, cuando veo el retaddress de algunas llamadas de las funciones aparece que se llama desde: pushad jmp injected.BD212F mov al,byte ptr ds:[61B729F2] mov edx,4B4E2E27 dec ebp loopne injected.BD2104 call far 5850:51B1B3F5 pop ecx jp injected.BD213F jo injected.BD213F jmp injected.BD2158 sti push esp loopne injected.BD216F and dword ptr ds:[ebx+524827BE],ebx xor ecx,dword ptr ds:[ebx] sbb dword ptr ds:[eax+71B7DF53],eax mov eax,559C61E4 mov dword ptr ss:[esp],7974FAD5 dec dword ptr ss:[esp] add dword ptr ss:[esp],47F69739 add dword ptr ss:[esp],6CFB1100 not dword ptr ss:[esp] push ebx mov ebx,1 add dword ptr ss:[esp+4],ebx pop ebx dec dword ptr ss:[esp] add dword ptr ss:[esp],2E66A368 push esi mov dword ptr ss:[esp],7ADBFEE5 and dword ptr ss:[esp],3CEF2791 add dword ptr ss:[esp],3E3059E5 push edi mov edi,FFD3A3B7 add dword ptr ss:[esp+4],edi pop edi shl dword ptr ss:[esp],1 add dword ptr ss:[esp],12DE9FCD push 711D8CC5 mov dword ptr ss:[esp],eax mov dword ptr ss:[esp],737FF923 sub dword ptr ss:[esp],crypt32.757FFA43 shr dword ptr ss:[esp],1 push edi mov edi,D41E1E90 add dword ptr ss:[esp+4],edi pop edi mov dword ptr ss:[esp],eax sub esp,4 mov dword ptr ss:[esp],edi mov dword ptr ss:[esp],edx mov dword ptr ss:[esp],eax mov dword ptr ss:[esp],edi mov dword ptr ss:[esp],ebx push dword ptr ss:[esp+10] push dword ptr ss:[esp] pop eax push eax mov eax,esp add eax,4 push edx mov edx,4 add eax,edx pop edx xchg dword ptr ss:[esp],eax pop esp push dword ptr ss:[esp+8] mov ebx,dword ptr ss:[esp] push edi push 7F39BAFC mov dword ptr ss:[esp],esp add dword ptr ss:[esp],4 pop edi add edi,4 add edi,4 xchg dword ptr ss:[esp],edi pop esp mov dword ptr ss:[esp+8],eax mov dword ptr ss:[esp+10],ebx push dword ptr ss:[esp] pop ebx push edi mov edi,esp push eax mov eax,4 add edi,eax pop eax add edi,4 xchg dword ptr ss:[esp],edi mov esp,dword ptr ss:[esp] push dword ptr ss:[esp] pop eax push edi mov edi,esp add edi,4 add edi,4 xor edi,dword ptr ss:[esp] xor dword ptr ss:[esp],edi xor edi,dword ptr ss:[esp] mov esp,dword ptr ss:[esp] jmp injected.68F549 call eax <- ACA llama Llama desde EAX, yo puedo colocar breakpoints, pero al colocar breakpoint en ese lugar no ocurre nada, y si lo nopeo crashea al llamarlo. Alguna idea?, esta funcion se repite 6 o 7 veces
|
|
|
En línea
|
|
|
|
Geovane
Desconectado
Mensajes: 207
|
¡Hola
Compruebe las API, algún anti-debugger existe, como GetTickCount.
utilice plugins para defenderse.
saludoss
|
|
|
En línea
|
|
|
|
josue9243
Desconectado
Mensajes: 67
|
JAJAJAJAJAJAJAJ. Como si fuera a depurar sin plugins y mas con themida Tengo Phanthom y strongOD
|
|
|
En línea
|
|
|
|
Geovane
Desconectado
Mensajes: 207
|
JAJAJAJAJAJAJAJ. Como si fuera a depurar sin plugins y mas con themida Tengo Phanthom y strongOD Usted no está seguro de ser Themida Deduce sólo, por tener versiones antiguas. Detectar punto de parada está relacionado a tiempo. Por fin, no estoy contando una broma saludos
|
|
|
En línea
|
|
|
|
josue9243
Desconectado
Mensajes: 67
|
Usted no está seguro de ser Themida Deduce sólo, por tener versiones antiguas. Detectar punto de parada está relacionado a tiempo. Por fin, no estoy contando una broma saludos
Si no vas a aportar nada no comentes, si yo digo que tiene themida es porque tiene themida, porque yo ya revise 2394234 cosas.
|
|
|
En línea
|
|
|
|
Markks
Desconectado
Mensajes: 83
-
|
Deberías tener mas respeto ya que el otro miembro solo intenta contribuir.
|
|
|
En línea
|
Not found.
|
|
|
|
josue9243
Desconectado
Mensajes: 67
|
Deberías tener mas respeto ya que el otro miembro solo intenta contribuir.
No tiene sentido, yo explico algo en el post y contradice lo dicho.
El temita es que es una de las últimas versiones de themida, lo cual este script no anda, es como que se queda atorado en cierta parte del código, y de ahí no avanza. (No encuentra el IAT) En versiones anteriores probe este script y anduvo 10/10 el tema es que actualizo y hay muchas nuevas cosas en el programa. (sorry por el doble post, pensé que los mensajes se juntaban solos)
|
|
« Última modificación: 3 Diciembre 2018, 03:13 am por MCKSys Argentina »
|
En línea
|
|
|
|
Geovane
Desconectado
Mensajes: 207
|
¡Hola después de identificar favor le avise. para nosotros implementar en el banco de suscripciones.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
un anillo en la pista?? que tipo de protección puede ser?
Software
|
Dis-LexXxics
|
5
|
3,308
|
13 Abril 2003, 11:39 am
por 4rm4nd0
|
|
|
Y si la proteccion está en una DLL,como puedo con Olly?
Ingeniería Inversa
|
KukuraFree
|
2
|
2,598
|
5 Mayo 2005, 22:00 pm
por TaU
|
|
|
que tipo de proteccion es?
Ingeniería Inversa
|
mario86
|
3
|
2,980
|
11 Septiembre 2012, 01:38 am
por MCKSys Argentina
|
|
|
Ayuda descubrir tipo de proteccion !
« 1 2 »
Ingeniería Inversa
|
Dawer
|
13
|
8,977
|
6 Agosto 2016, 20:48 pm
por Dawer
|
|
|
¿Que clase de proteccion es esta?
Dudas Generales
|
GreenTick
|
9
|
7,006
|
23 Marzo 2017, 03:59 am
por Randomize
|
|