elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  ¿Qué tipo de protección es esta?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Qué tipo de protección es esta?  (Leído 4,214 veces)
josue9243

Desconectado Desconectado

Mensajes: 67


Ver Perfil
¿Qué tipo de protección es esta?
« en: 21 Noviembre 2018, 18:01 pm »

Hola, estoy descompilando un programa que útiliza Themida, me parece que es de las últimas versiones porque no aparece en ProtectionId para ver el packer, y versiones antiguas de dicho programa si aparece.

El caso, cuando veo el retaddress de algunas llamadas de las funciones aparece que se llama desde:

Código:
pushad 
jmp injected.BD212F
mov al,byte ptr ds:[61B729F2]
mov edx,4B4E2E27
dec ebp
loopne injected.BD2104
call far 5850:51B1B3F5
pop ecx
jp injected.BD213F
jo injected.BD213F
jmp injected.BD2158
sti
push esp
loopne injected.BD216F
and dword ptr ds:[ebx+524827BE],ebx
xor ecx,dword ptr ds:[ebx]
sbb dword ptr ds:[eax+71B7DF53],eax
mov eax,559C61E4
mov dword ptr ss:[esp],7974FAD5
dec dword ptr ss:[esp]
add dword ptr ss:[esp],47F69739
add dword ptr ss:[esp],6CFB1100
not dword ptr ss:[esp]
push ebx
mov ebx,1
add dword ptr ss:[esp+4],ebx
pop ebx
dec dword ptr ss:[esp]
add dword ptr ss:[esp],2E66A368
push esi
mov dword ptr ss:[esp],7ADBFEE5
and dword ptr ss:[esp],3CEF2791
add dword ptr ss:[esp],3E3059E5
push edi
mov edi,FFD3A3B7
add dword ptr ss:[esp+4],edi
pop edi
shl dword ptr ss:[esp],1
add dword ptr ss:[esp],12DE9FCD
push 711D8CC5
mov dword ptr ss:[esp],eax
mov dword ptr ss:[esp],737FF923
sub dword ptr ss:[esp],crypt32.757FFA43
shr dword ptr ss:[esp],1
push edi
mov edi,D41E1E90
add dword ptr ss:[esp+4],edi
pop edi
mov dword ptr ss:[esp],eax
sub esp,4
mov dword ptr ss:[esp],edi
mov dword ptr ss:[esp],edx
mov dword ptr ss:[esp],eax
mov dword ptr ss:[esp],edi
mov dword ptr ss:[esp],ebx
push dword ptr ss:[esp+10]
push dword ptr ss:[esp]
pop eax
push eax
mov eax,esp
add eax,4
push edx
mov edx,4
add eax,edx
pop edx
xchg dword ptr ss:[esp],eax
pop esp
push dword ptr ss:[esp+8]
mov ebx,dword ptr ss:[esp]
push edi
push 7F39BAFC
mov dword ptr ss:[esp],esp
add dword ptr ss:[esp],4
pop edi
add edi,4
add edi,4
xchg dword ptr ss:[esp],edi
pop esp
mov dword ptr ss:[esp+8],eax
mov dword ptr ss:[esp+10],ebx
push dword ptr ss:[esp]
pop ebx
push edi
mov edi,esp
push eax
mov eax,4
add edi,eax
pop eax
add edi,4
xchg dword ptr ss:[esp],edi
mov esp,dword ptr ss:[esp]
push dword ptr ss:[esp]
pop eax
push edi
mov edi,esp
add edi,4
add edi,4
xor edi,dword ptr ss:[esp]
xor dword ptr ss:[esp],edi
xor edi,dword ptr ss:[esp]
mov esp,dword ptr ss:[esp]
jmp injected.68F549
call eax <- ACA llama

Llama desde EAX, yo puedo colocar breakpoints, pero al colocar breakpoint en ese lugar no ocurre nada, y si lo nopeo crashea al llamarlo.

Alguna idea?, esta funcion se repite 6 o 7 veces
En línea

Geovane

Desconectado Desconectado

Mensajes: 207



Ver Perfil
Re: ¿Qué tipo de protección es esta?
« Respuesta #1 en: 21 Noviembre 2018, 18:24 pm »

¡Hola

Compruebe las API, algún anti-debugger existe, como GetTickCount.

utilice plugins para defenderse.

saludoss
En línea

Para servicios, envíe un mensaje privado, sólo para servicios en curso hasta fecha de 10/06/2019
josue9243

Desconectado Desconectado

Mensajes: 67


Ver Perfil
Re: ¿Qué tipo de protección es esta?
« Respuesta #2 en: 21 Noviembre 2018, 18:45 pm »

JAJAJAJAJAJAJAJ.

Como si fuera a depurar sin plugins y mas con themida  :xD

Tengo Phanthom y strongOD  :rolleyes:

En línea

Geovane

Desconectado Desconectado

Mensajes: 207



Ver Perfil
Re: ¿Qué tipo de protección es esta?
« Respuesta #3 en: 21 Noviembre 2018, 19:00 pm »

JAJAJAJAJAJAJAJ.

Como si fuera a depurar sin plugins y mas con themida  :xD

Tengo Phanthom y strongOD  :rolleyes:



Usted no está seguro de ser Themida
Deduce sólo, por tener versiones antiguas.
Detectar punto de parada está relacionado a tiempo.
Por fin, no estoy contando una broma
saludos
En línea

Para servicios, envíe un mensaje privado, sólo para servicios en curso hasta fecha de 10/06/2019
josue9243

Desconectado Desconectado

Mensajes: 67


Ver Perfil
Re: ¿Qué tipo de protección es esta?
« Respuesta #4 en: 21 Noviembre 2018, 23:30 pm »

Usted no está seguro de ser Themida
Deduce sólo, por tener versiones antiguas.
Detectar punto de parada está relacionado a tiempo.
Por fin, no estoy contando una broma
saludos

Si no vas a aportar nada no comentes, si yo digo que tiene themida es porque tiene themida, porque yo ya revise 2394234 cosas.
En línea

Markks

Desconectado Desconectado

Mensajes: 83


-


Ver Perfil
Re: ¿Qué tipo de protección es esta?
« Respuesta #5 en: 24 Noviembre 2018, 23:54 pm »

Deberías tener mas respeto ya que el otro miembro solo intenta contribuir.
En línea

Not found.
Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Re: ¿Qué tipo de protección es esta?
« Respuesta #6 en: 25 Noviembre 2018, 00:31 am »

para themida creo que deberías de buscarte un script

dime si te funciona este
https://cloud.mail.ru/public/Apwm/9DLAiwJWa

aquí el tutorial

http://forum.xentax.com/viewtopic.php?f=29&t=12953


saludos
En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

josue9243

Desconectado Desconectado

Mensajes: 67


Ver Perfil
Re: ¿Qué tipo de protección es esta?
« Respuesta #7 en: 2 Diciembre 2018, 16:44 pm »

Deberías tener mas respeto ya que el otro miembro solo intenta contribuir.

No tiene sentido, yo explico algo en el post y contradice lo dicho.

para themida creo que deberías de buscarte un script

dime si te funciona este
https://cloud.mail.ru/public/Apwm/9DLAiwJWa

aquí el tutorial

http://forum.xentax.com/viewtopic.php?f=29&t=12953


saludos

El temita es que es una de las últimas versiones de themida, lo cual este script no anda, es como que se queda atorado en cierta parte del código, y de ahí no avanza.
(No encuentra el IAT)

En versiones anteriores probe este script y anduvo 10/10 el tema es que actualizo y hay muchas nuevas cosas en el programa.

(sorry por el doble post, pensé que los mensajes se juntaban solos)
« Última modificación: 3 Diciembre 2018, 03:13 am por MCKSys Argentina » En línea

Geovane

Desconectado Desconectado

Mensajes: 207



Ver Perfil
Re: ¿Qué tipo de protección es esta?
« Respuesta #8 en: 4 Diciembre 2018, 00:28 am »

¡Hola
  después de identificar favor le avise.
para nosotros implementar en el banco de suscripciones.
En línea

Para servicios, envíe un mensaje privado, sólo para servicios en curso hasta fecha de 10/06/2019
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
un anillo en la pista?? que tipo de protección puede ser?
Software
Dis-LexXxics 5 3,300 Último mensaje 13 Abril 2003, 11:39 am
por 4rm4nd0
Y si la proteccion está en una DLL,como puedo con Olly?
Ingeniería Inversa
KukuraFree 2 2,590 Último mensaje 5 Mayo 2005, 22:00 pm
por TaU
que tipo de proteccion es?
Ingeniería Inversa
mario86 3 2,952 Último mensaje 11 Septiembre 2012, 01:38 am
por MCKSys Argentina
Ayuda descubrir tipo de proteccion ! « 1 2 »
Ingeniería Inversa
Dawer 13 8,965 Último mensaje 6 Agosto 2016, 20:48 pm
por Dawer
¿Que clase de proteccion es esta?
Dudas Generales
GreenTick 9 6,966 Último mensaje 23 Marzo 2017, 03:59 am
por Randomize
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines