elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  [?] IsDebuggerPresent (¿Packer?)		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: [?] IsDebuggerPresent (¿Packer?)  (Leído 8,322 veces)
MeCraniDOS


Desconectado Desconectado

Mensajes: 337


Sr. Glass


Ver Perfil
[?] IsDebuggerPresent (¿Packer?)
« en: 23 Agosto 2013, 21:53 pm »
Buenas, queria saber como puedo saber con que esta empaquetado  :-\

Le he pasado el RDG Packer Detector y me sale esto:



Se 100% seguro que esta empaquetado, saben de algún programa para analizarlo?

He probado también PEiD y me sale "Nothing Found"  :-\
Otra cosa, si sale que no esta empaquetado, el "IsDebuggerPresent" con que lo han puesto?  :huh:

Saludos.
En línea
"La física es el sistema operativo del Universo"
     -- Steven R Garman
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Re: [?] IsDebuggerPresent (¿Packer?)
« Respuesta #1 en: 23 Agosto 2013, 22:06 pm »
para el "IsDebuggerPresent" no requiere que este empacado, es una función normal de windows. Hace poco descargue un code que usaba esa función para detectar si estaba corriendo en un debugger.

Una pregunta, como sabes que esta empacado?
En línea
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.513


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: [?] IsDebuggerPresent (¿Packer?)
« Respuesta #2 en: 23 Agosto 2013, 22:12 pm »
Cita de: Stakewinner00 en 23 Agosto 2013, 22:06 pm
Una pregunta, como sabes que esta empacado?

+1. Como es el EP? Si es un Delphi, probaste de abrirlo con IDR? Dede? Si estos fallan, es probable que este empacado, pero esa imagen del rdg indica que no lo esta (al menos, si veo esa imagen en un target, lo primero que hago es abrirlo en Olly para ver si es tan asi como parece.)

La API se anula cambiando un par de bytes y listo, pero normalmente el compilador agrega codigo con esta API, para ver si hay un debugger por el tema de las Excepciones...

Saludos!
En línea
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
MeCraniDOS


Desconectado Desconectado

Mensajes: 337


Sr. Glass


Ver Perfil
Re: [?] IsDebuggerPresent (¿Packer?)
« Respuesta #3 en: 23 Agosto 2013, 22:21 pm »
Cita de: Stakewinner00 en 23 Agosto 2013, 22:06 pm
Una pregunta, como sabes que esta empacado?

El programa esta hecho con AutoIt3, la extensión es .au3, al convertirlo usa el UPX, al pasarle el RDG no me lo detecta, y si lo abro con un Hex, tampoco me sale UPX al inicio del ejecutable, si no estuviera empaquetado me dejaría decompilar el código  :-\


Cita de: MCKSys Argentina en 23 Agosto 2013, 22:12 pm
pero esa imagen del rdg indica que no lo esta (al menos, si veo esa imagen en un target, lo primero que hago es abrirlo en Olly para ver si es tan asi como parece.)

Es lo que no me cuadra, que me sale que no esta empaquetado pero no me deja decompilarlo, me da error  :-[
« Última modificación: 23 Agosto 2013, 22:56 pm por MeCraniDOS » En línea
"La física es el sistema operativo del Universo"
     -- Steven R Garman
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Re: [?] IsDebuggerPresent (¿Packer?)
« Respuesta #4 en: 23 Agosto 2013, 22:22 pm »
el .au3 es un ejecutable?

PD:Si pasas el archivo mejor, así podemos tratar de buscar una solución por nuestra cuenta y luego explicarla.
En línea
MeCraniDOS


Desconectado Desconectado

Mensajes: 337


Sr. Glass


Ver Perfil
Re: [?] IsDebuggerPresent (¿Packer?)
« Respuesta #5 en: 23 Agosto 2013, 22:31 pm »
Cita de: Stakewinner00 en 23 Agosto 2013, 22:22 pm
el .au3 es un ejecutable?

No, es la extensión de AutoIt, pero cuando compilas lo convierte a exe y lo empaqueta con UPX

Cita de: Stakewinner00 en 23 Agosto 2013, 22:22 pm
PD:Si pasas el archivo mejor, así podemos tratar de buscar una solución por nuestra cuenta y luego explicarla.

Pensaba que no se podía, que luego dicen que se piden tareas...  :-[

El ejecutable es este: http://www.mediafire.com/?iqhwwiy0q8cy4uc

 :silbar:
En línea
"La física es el sistema operativo del Universo"
     -- Steven R Garman
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Re: [?] IsDebuggerPresent (¿Packer?)
« Respuesta #6 en: 23 Agosto 2013, 22:43 pm »
Por las pruebas que hice me da ami que no estaba empacado. Primero por que el código era completamente legible, segundo por que pesaba mucho y el PE parecía normal.

También probé con la opción de UPX para desempacar y me dijo que "upx: Merkava.exe: NotPackedException: not packed by UPX"

PD:Me lo detecto como troyano.

Puedes pasar el ejecutable sin empacar y el empacado? Para compararlos.

Cabe destacar que mi nivel de cracking/reversing es básico.
« Última modificación: 23 Agosto 2013, 22:45 pm por Stakewinner00 » En línea
MeCraniDOS


Desconectado Desconectado

Mensajes: 337


Sr. Glass


Ver Perfil
Re: [?] IsDebuggerPresent (¿Packer?)
« Respuesta #7 en: 23 Agosto 2013, 22:58 pm »
Cita de: Stakewinner00 en 23 Agosto 2013, 22:43 pm
Puedes pasar el ejecutable sin empacar y el empacado? Para compararlos.

Sin empacar y empacado? Es un programa que me he descargado y quería sacar el código fuente, pero no me deja porque dice que esta empaquetado, ya venia así  :¬¬ :¬¬
En línea
"La física es el sistema operativo del Universo"
     -- Steven R Garman
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Re: [?] IsDebuggerPresent (¿Packer?)
« Respuesta #8 en: 23 Agosto 2013, 23:05 pm »
Yo entendí que tenias el source en formato .au3... Bueno pues nada.
En línea
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: [?] IsDebuggerPresent (¿Packer?)
« Respuesta #9 en: 23 Agosto 2013, 23:11 pm »
1) no esta packed
2) es un trainer, o programa para modificar valores en runtime de algun juego

3) hay checkeos de tiempo? o mejor dicho de licencia

4)  no es posible sacar codigos de fuente , no es hecho en autoit, y lo que tienes es un delphi que carga una libreria propia para cargar flash 

hay muchisimo que debes leer, porque confiar en conocimientos de detectores está bien, pero está mejor cuando tomas ese log como consejo

leamos lo que yo veo en esa impresión de RDG detector
Compiler ->delphi   consejo, usar IDR dede IDA con map
detected:nothing(posiblemente no está empacado).> puedes cambiar los recursos a gustos y revisarlo en ollydbg IDA u otro
posible check to isdebuggerpresent-> este indica que puede tener algun llamado a isdebuggerpresent por lo cual deberás estar pendiente si hay otros checks de apis para detectar el depurador

a primera vista lo unico que me llama la atención lo dejo aqui en quote.
Citar
005A5986     00             DB 00
005A5987     00             DB 00
005A5988   . 6500 7800 7000>UNICODE "expire",0
005A5996     00             DB 00
005A5997     00             DB 00
005A5998   $ 55             PUSH EBP
005A5999   . 8BEC           MOV EBP,ESP
005A599B   . B9 08000000    MOV ECX,0x8
005A59A0   > 6A 00          PUSH 0x0
005A59A2   . 6A 00          PUSH 0x0
005A59A4   . 49             DEC ECX
005A59A5   .^75 F9          JNZ SHORT Merkava.005A59A0
005A59A7   . 51             PUSH ECX
005A59A8   . 53             PUSH EBX
005A59A9   . 56             PUSH ESI
005A59AA   . 8955 FC        MOV DWORD PTR SS:[EBP-0x4],EDX
005A59AD   . 8BD8           MOV EBX,EAX
005A59AF   . 8B45 FC        MOV EAX,DWORD PTR SS:[EBP-0x4]
005A59B2   . E8 9117E6FF    CALL Merkava.00407148
005A59B7   . 8B35 30206000  MOV ESI,DWORD PTR DS:[0x602030]          ;  Merkava.006084A4
005A59BD   . 33C0           XOR EAX,EAX
005A59BF   . 55             PUSH EBP
005A59C0   . 68 CA5E5A00    PUSH Merkava.005A5ECA
005A59C5   . 64:FF30        PUSH DWORD PTR FS:[EAX]
005A59C8   . 64:8920        MOV DWORD PTR FS:[EAX],ESP
005A59CB   . B2 01          MOV DL,0x1
005A59CD   . A1 C4555A00    MOV EAX,DWORD PTR DS:[0x5A55C4]
005A59D2   . E8 09F6E5FF    CALL Merkava.00404FE0
005A59D7   . 8945 F4        MOV DWORD PTR SS:[EBP-0xC],EAX
005A59DA   . 8D45 F8        LEA EAX,DWORD PTR SS:[EBP-0x8]
005A59DD   . 8B55 F4        MOV EDX,DWORD PTR SS:[EBP-0xC]
005A59E0   . 85D2           TEST EDX,EDX
005A59E2   . 74 03          JE SHORT Merkava.005A59E7
005A59E4   . 83EA F8        SUB EDX,-0x8
005A59E7   > E8 9447E6FF    CALL Merkava.0040A180
005A59EC   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A59EF   . 8958 0C        MOV DWORD PTR DS:[EAX+0xC],EBX
005A59F2   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A59F5   . 83C0 18        ADD EAX,0x18
005A59F8   . 8B55 FC        MOV EDX,DWORD PTR SS:[EBP-0x4]
005A59FB   . E8 6017E6FF    CALL Merkava.00407160
005A5A00   . 8B55 F4        MOV EDX,DWORD PTR SS:[EBP-0xC]
005A5A03   . 85D2           TEST EDX,EDX
005A5A05   . 74 03          JE SHORT Merkava.005A5A0A
005A5A07   . 83EA E4        SUB EDX,-0x1C
005A5A0A   > A1 80A44F00    MOV EAX,DWORD PTR DS:[0x4FA480]
005A5A0F   . E8 F4AEF5FF    CALL Merkava.00500908
005A5A14   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5A17   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5A1A   . 83C0 0C        ADD EAX,0xC
005A5A1D   . 8B55 F4        MOV EDX,DWORD PTR SS:[EBP-0xC]
005A5A20   . 8B52 18        MOV EDX,DWORD PTR DS:[EDX+0x18]
005A5A23   . E8 3817E6FF    CALL Merkava.00407160
005A5A28   . B8 28230000    MOV EAX,0x2328
005A5A2D   . E8 A2ECE5FF    CALL Merkava.004046D4
005A5A32   . 05 E8030000    ADD EAX,0x3E8
005A5A37   . 8B55 F4        MOV EDX,DWORD PTR SS:[EBP-0xC]
005A5A3A   . 8942 14        MOV DWORD PTR DS:[EDX+0x14],EAX
005A5A3D   . B2 01          MOV DL,0x1
005A5A3F   . A1 68DC4200    MOV EAX,DWORD PTR DS:[0x42DC68]
005A5A44   . E8 BB4FE9FF    CALL Merkava.0043AA04
005A5A49   . 8B55 F4        MOV EDX,DWORD PTR SS:[EBP-0xC]
005A5A4C   . 8942 10        MOV DWORD PTR DS:[EDX+0x10],EAX
005A5A4F   . 33D2           XOR EDX,EDX
005A5A51   . 55             PUSH EBP
005A5A52   . 68 895E5A00    PUSH Merkava.005A5E89
005A5A57   . 64:FF32        PUSH DWORD PTR FS:[EDX]
005A5A5A   . 64:8922        MOV DWORD PTR FS:[EDX],ESP
005A5A5D   . 8B06           MOV EAX,DWORD PTR DS:[ESI]
005A5A5F   . 8378 40 00     CMP DWORD PTR DS:[EAX+0x40],0x0
005A5A63   . 75 2E          JNZ SHORT Merkava.005A5A93
005A5A65   . BA DC5E5A00    MOV EDX,Merkava.005A5EDC                 ;  UNICODE "License activation error"
005A5A6A   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5A6D   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5A70   . 8950 20        MOV DWORD PTR DS:[EAX+0x20],EDX
005A5A73   . BA 105F5A00    MOV EDX,Merkava.005A5F10                 ;  UNICODE "Your license expired"
005A5A78   . 8950 24        MOV DWORD PTR DS:[EAX+0x24],EDX
005A5A7B   . BA 3C5F5A00    MOV EDX,Merkava.005A5F3C                 ;  UNICODE "Trial license created (Expire date: "
005A5A80   . 8950 28        MOV DWORD PTR DS:[EAX+0x28],EDX
005A5A83   . BA 885F5A00    MOV EDX,Merkava.005A5F88                 ;  UNICODE "Unlimited license"
005A5A88   . 8950 2C        MOV DWORD PTR DS:[EAX+0x2C],EDX
005A5A8B   . BA AC5F5A00    MOV EDX,Merkava.005A5FAC                 ;  UNICODE "License expire date: "
005A5A90   . 8950 30        MOV DWORD PTR DS:[EAX+0x30],EDX
005A5A93   > 8B06           MOV EAX,DWORD PTR DS:[ESI]
005A5A95   . 8378 40 01     CMP DWORD PTR DS:[EAX+0x40],0x1
005A5A99   . 75 2E          JNZ SHORT Merkava.005A5AC9
005A5A9B   . BA D85F5A00    MOV EDX,Merkava.005A5FD8
005A5AA0   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5AA3   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5AA6   . 8950 20        MOV DWORD PTR DS:[EAX+0x20],EDX
005A5AA9   . BA 0C605A00    MOV EDX,Merkava.005A600C
005A5AAE   . 8950 24        MOV DWORD PTR DS:[EAX+0x24],EDX
005A5AB1   . BA 40605A00    MOV EDX,Merkava.005A6040
005A5AB6   . 8950 28        MOV DWORD PTR DS:[EAX+0x28],EDX
005A5AB9   . BA 98605A00    MOV EDX,Merkava.005A6098
005A5ABE   . 8950 2C        MOV DWORD PTR DS:[EAX+0x2C],EDX
005A5AC1   . BA C4605A00    MOV EDX,Merkava.005A60C4
005A5AC6   . 8950 30        MOV DWORD PTR DS:[EAX+0x30],EDX
005A5AC9   > 8B06           MOV EAX,DWORD PTR DS:[ESI]
005A5ACB   . 8378 40 02     CMP DWORD PTR DS:[EAX+0x40],0x2
005A5ACF   . 75 26          JNZ SHORT Merkava.005A5AF7
005A5AD1   . BA 04615A00    MOV EDX,Merkava.005A6104                 ;  UNICODE "Ihre Lizenz abgelaufen "
005A5AD6   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5AD9   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5ADC   . 8950 24        MOV DWORD PTR DS:[EAX+0x24],EDX
005A5ADF   . BA 34615A00    MOV EDX,Merkava.005A6134                 ;  UNICODE "Trial Lizenz erstellt (Verfallsdatum:"
005A5AE4   . 8950 28        MOV DWORD PTR DS:[EAX+0x28],EDX
005A5AE7   . BA 80615A00    MOV EDX,Merkava.005A6180                 ;  UNICODE "Unlimited-Lizenz"
005A5AEC   . 8950 2C        MOV DWORD PTR DS:[EAX+0x2C],EDX
005A5AEF   . BA A4615A00    MOV EDX,Merkava.005A61A4                 ;  UNICODE "Lizenz Ablaufdatum:"
005A5AF4   . 8950 30        MOV DWORD PTR DS:[EAX+0x30],EDX
005A5AF7   > 8B06           MOV EAX,DWORD PTR DS:[ESI]
005A5AF9   . 8378 40 03     CMP DWORD PTR DS:[EAX+0x40],0x3
005A5AFD   . 75 2E          JNZ SHORT Merkava.005A5B2D
005A5AFF   . BA CC615A00    MOV EDX,Merkava.005A61CC                 ;  UNICODE "Lisans Kontrol Hatas"
005A5B04   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5B07   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5B0A   . 8950 20        MOV DWORD PTR DS:[EAX+0x20],EDX
005A5B0D   . BA F8615A00    MOV EDX,Merkava.005A61F8                 ;  UNICODE "Lisans S"
005A5B12   . 8950 24        MOV DWORD PTR DS:[EAX+0x24],EDX
005A5B15   . BA 5C625A00    MOV EDX,Merkava.005A625C                 ;  UNICODE "Deneme S"
005A5B1A   . 8950 28        MOV DWORD PTR DS:[EAX+0x28],EDX
005A5B1D   . BA B8625A00    MOV EDX,Merkava.005A62B8
005A5B22   . 8950 2C        MOV DWORD PTR DS:[EAX+0x2C],EDX
005A5B25   . BA D8625A00    MOV EDX,Merkava.005A62D8                 ;  UNICODE "Lisans (S"
005A5B2A   . 8950 30        MOV DWORD PTR DS:[EAX+0x30],EDX
005A5B2D   > 8B06           MOV EAX,DWORD PTR DS:[ESI]
005A5B2F   . 8378 40 04     CMP DWORD PTR DS:[EAX+0x40],0x4
005A5B33   . 75 2E          JNZ SHORT Merkava.005A5B63
005A5B35   . BA 18635A00    MOV EDX,Merkava.005A6318
005A5B3A   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5B3D   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5B40   . 8950 20        MOV DWORD PTR DS:[EAX+0x20],EDX
005A5B43   . BA 48635A00    MOV EDX,Merkava.005A6348                 ;  UNICODE "Twoja licencja wygas"
005A5B48   . 8950 24        MOV DWORD PTR DS:[EAX+0x24],EDX
005A5B4B   . BA 78635A00    MOV EDX,Merkava.005A6378                 ;  UNICODE "Licencja testowa utworzona (Data wa"
005A5B50   . 8950 28        MOV DWORD PTR DS:[EAX+0x28],EDX
005A5B53   . BA D0635A00    MOV EDX,Merkava.005A63D0                 ;  UNICODE "Licencja nielimitowana"
005A5B58   . 8950 2C        MOV DWORD PTR DS:[EAX+0x2C],EDX
005A5B5B   . BA 00645A00    MOV EDX,Merkava.005A6400
005A5B60   . 8950 30        MOV DWORD PTR DS:[EAX+0x30],EDX
005A5B63   > 8B06           MOV EAX,DWORD PTR DS:[ESI]
005A5B65   . 8378 40 05     CMP DWORD PTR DS:[EAX+0x40],0x5
005A5B69   . 75 2E          JNZ SHORT Merkava.005A5B99
005A5B6B   . BA 34645A00    MOV EDX,Merkava.005A6434                 ;  UNICODE "Erreur d'activation de licence"
005A5B70   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5B73   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5B76   . 8950 20        MOV DWORD PTR DS:[EAX+0x20],EDX
005A5B79   . BA 74645A00    MOV EDX,Merkava.005A6474                 ;  UNICODE "Votre licence a expir"
005A5B7E   . 8950 24        MOV DWORD PTR DS:[EAX+0x24],EDX
005A5B81   . BA A4645A00    MOV EDX,Merkava.005A64A4                 ;  UNICODE "La licence d'"
005A5B86   . 8950 28        MOV DWORD PTR DS:[EAX+0x28],EDX
005A5B89   . BA 08655A00    MOV EDX,Merkava.005A6508                 ;  UNICODE "La licence illimit"
005A5B8E   . 8950 2C        MOV DWORD PTR DS:[EAX+0x2C],EDX
005A5B91   . BA 34655A00    MOV EDX,Merkava.005A6534                 ;  UNICODE "la date d'expiration de licence:"
005A5B96   . 8950 30        MOV DWORD PTR DS:[EAX+0x30],EDX
005A5B99   > 8B06           MOV EAX,DWORD PTR DS:[ESI]
005A5B9B   . 8378 40 06     CMP DWORD PTR DS:[EAX+0x40],0x6
005A5B9F   . 75 2E          JNZ SHORT Merkava.005A5BCF
005A5BA1   . BA 78655A00    MOV EDX,Merkava.005A6578                 ;  UNICODE "Errore attivazione licenza"
005A5BA6   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5BA9   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5BAC   . 8950 20        MOV DWORD PTR DS:[EAX+0x20],EDX
005A5BAF   . BA B0655A00    MOV EDX,Merkava.005A65B0                 ;  UNICODE "La tua licenza "
005A5BB4   . 8950 24        MOV DWORD PTR DS:[EAX+0x24],EDX
005A5BB7   . BA E4655A00    MOV EDX,Merkava.005A65E4                 ;  UNICODE "Licenza di prova creata (Data di scadenza: "
005A5BBC   . 8950 28        MOV DWORD PTR DS:[EAX+0x28],EDX
005A5BBF   . BA 3C665A00    MOV EDX,Merkava.005A663C                 ;  UNICODE "Licenza illimitata"
005A5BC4   . 8950 2C        MOV DWORD PTR DS:[EAX+0x2C],EDX
005A5BC7   . BA 64665A00    MOV EDX,Merkava.005A6664                 ;  UNICODE "Data di scadenza: "
005A5BCC   . 8950 30        MOV DWORD PTR DS:[EAX+0x30],EDX
005A5BCF   > 8B06           MOV EAX,DWORD PTR DS:[ESI]
005A5BD1   . 8378 40 07     CMP DWORD PTR DS:[EAX+0x40],0x7
005A5BD5   . 75 2E          JNZ SHORT Merkava.005A5C05
005A5BD7   . BA 8C665A00    MOV EDX,Merkava.005A668C                 ;  UNICODE "Error en activaci"
005A5BDC   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5BDF   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5BE2   . 8950 20        MOV DWORD PTR DS:[EAX+0x20],EDX
005A5BE5   . BA CC665A00    MOV EDX,Merkava.005A66CC                 ;  UNICODE "Su licencia ha caducado"
005A5BEA   . 8950 24        MOV DWORD PTR DS:[EAX+0x24],EDX
005A5BED   . BA FC665A00    MOV EDX,Merkava.005A66FC                 ;  UNICODE "Periodo de prueba activado (Termina el: "
005A5BF2   . 8950 28        MOV DWORD PTR DS:[EAX+0x28],EDX
005A5BF5   . BA 50675A00    MOV EDX,Merkava.005A6750                 ;  UNICODE "Licencia ilimitad..."
005A5BFA   . 8950 2C        MOV DWORD PTR DS:[EAX+0x2C],EDX
005A5BFD   . BA 7C675A00    MOV EDX,Merkava.005A677C                 ;  UNICODE "Fecha de caducidad de licencia:"
005A5C02   . 8950 30        MOV DWORD PTR DS:[EAX+0x30],EDX
005A5C05   > 8B06           MOV EAX,DWORD PTR DS:[ESI]
005A5C07   . 8378 40 08     CMP DWORD PTR DS:[EAX+0x40],0x8
005A5C0B   . 75 2E          JNZ SHORT Merkava.005A5C3B
005A5C0D   . BA BC675A00    MOV EDX,Merkava.005A67BC                 ;  UNICODE "Aktivace licence chyba"
005A5C12   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5C15   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5C18   . 8950 20        MOV DWORD PTR DS:[EAX+0x20],EDX
005A5C1B   . BA EC675A00    MOV EDX,Merkava.005A67EC
005A5C20   . 8950 24        MOV DWORD PTR DS:[EAX+0x24],EDX
005A5C23   . BA 18685A00    MOV EDX,Merkava.005A6818                 ;  UNICODE "Trial licence vytvo"
005A5C28   . 8950 28        MOV DWORD PTR DS:[EAX+0x28],EDX
005A5C2B   . BA 885F5A00    MOV EDX,Merkava.005A5F88                 ;  UNICODE "Unlimited license"
005A5C30   . 8950 2C        MOV DWORD PTR DS:[EAX+0x2C],EDX
005A5C33   . BA 64685A00    MOV EDX,Merkava.005A6864                 ;  UNICODE "License vypr"
005A5C38   . 8950 30        MOV DWORD PTR DS:[EAX+0x30],EDX
005A5C3B   > 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5C3E   . 8B40 10        MOV EAX,DWORD PTR DS:[EAX+0x10]
005A5C41   . BA 9C685A00    MOV EDX,Merkava.005A689C
005A5C46   . E8 1146E9FF    CALL Merkava.0043A25C
005A5C4B   . 68 AC685A00    PUSH Merkava.005A68AC                    ;  UNICODE "http://62.152.59.247/license/"
005A5C50   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5C53   . FF70 18        PUSH DWORD PTR DS:[EAX+0x18]
005A5C56   . 68 F4685A00    PUSH Merkava.005A68F4
005A5C5B   . 8D55 E4        LEA EDX,DWORD PTR SS:[EBP-0x1C]
005A5C5E   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5C61   . 8B40 14        MOV EAX,DWORD PTR DS:[EAX+0x14]
005A5C64   . E8 37E3E6FF    CALL Merkava.00413FA0
005A5C69   . FF75 E4        PUSH DWORD PTR SS:[EBP-0x1C]
005A5C6C   . 8D45 E8        LEA EAX,DWORD PTR SS:[EBP-0x18]
005A5C6F   . BA 04000000    MOV EDX,0x4
005A5C74   . E8 AF1AE6FF    CALL Merkava.00407728
005A5C79   . 8B55 E8        MOV EDX,DWORD PTR SS:[EBP-0x18]
005A5C7C   . 8D4D EC        LEA ECX,DWORD PTR SS:[EBP-0x14]
005A5C7F   . A1 883B5900    MOV EAX,DWORD PTR DS:[0x593B88]
005A5C84   . E8 13E3FEFF    CALL Merkava.00593F9C
005A5C89   . 8B55 EC        MOV EDX,DWORD PTR SS:[EBP-0x14]
005A5C8C   . 8D4D F0        LEA ECX,DWORD PTR SS:[EBP-0x10]
005A5C8F   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5C92   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5C95   . 8B40 10        MOV EAX,DWORD PTR DS:[EAX+0x10]
005A5C98   . E8 A3E7FEFF    CALL Merkava.00594440
005A5C9D   . 8B55 F0        MOV EDX,DWORD PTR SS:[EBP-0x10]
005A5CA0   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5CA3   . 8B40 10        MOV EAX,DWORD PTR DS:[EAX+0x10]
005A5CA6   . 8B08           MOV ECX,DWORD PTR DS:[EAX]
005A5CA8   . FF51 2C        CALL DWORD PTR DS:[ECX+0x2C]
005A5CAB   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5CAE   . 8B40 10        MOV EAX,DWORD PTR DS:[EAX+0x10]
005A5CB1   . 8B10           MOV EDX,DWORD PTR DS:[EAX]
005A5CB3   . FF52 14        CALL DWORD PTR DS:[EDX+0x14]
005A5CB6   . 83F8 07        CMP EAX,0x7
005A5CB9   . 74 42          JE SHORT Merkava.005A5CFD
005A5CBB   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5CBE   . 8B58 0C        MOV EBX,DWORD PTR DS:[EAX+0xC]
005A5CC1   . C643 04 00     MOV BYTE PTR DS:[EBX+0x4],0x0
005A5CC5   . 8D43 14        LEA EAX,DWORD PTR DS:[EBX+0x14]
005A5CC8   . 33D2           XOR EDX,EDX
005A5CCA   . E8 9114E6FF    CALL Merkava.00407160
005A5CCF   . 6A 03          PUSH 0x3
005A5CD1   . 8D45 E0        LEA EAX,DWORD PTR SS:[EBP-0x20]
005A5CD4   . 8B55 F4        MOV EDX,DWORD PTR SS:[EBP-0xC]
005A5CD7   . 8B5A 0C        MOV EBX,DWORD PTR DS:[EDX+0xC]
005A5CDA   . 8B53 20        MOV EDX,DWORD PTR DS:[EBX+0x20]
005A5CDD   . E8 3A16E6FF    CALL Merkava.0040731C
005A5CE2   . 8B4D E0        MOV ECX,DWORD PTR SS:[EBP-0x20]
005A5CE5   . 8BC3           MOV EAX,EBX
005A5CE7   . BA 04695A00    MOV EDX,Merkava.005A6904                 ;  UNICODE "Merkava"
005A5CEC   . E8 0BF1FFFF    CALL Merkava.005A4DFC
005A5CF1   . 33DB           XOR EBX,EBX
005A5CF3   . E8 E4FEE5FF    CALL Merkava.00405BDC
005A5CF8   . E9 A2010000    JMP Merkava.005A5E9F
005A5CFD   > 8D4D DC        LEA ECX,DWORD PTR SS:[EBP-0x24]
005A5D00   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5D03   . 8B40 10        MOV EAX,DWORD PTR DS:[EAX+0x10]
005A5D06   . BA 01000000    MOV EDX,0x1
005A5D0B   . 8B18           MOV EBX,DWORD PTR DS:[EAX]
005A5D0D   . FF53 0C        CALL DWORD PTR DS:[EBX+0xC]
005A5D10   . 8B55 DC        MOV EDX,DWORD PTR SS:[EBP-0x24]
005A5D13   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5D16   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5D19   . 83C0 14        ADD EAX,0x14
005A5D1C   . E8 3F14E6FF    CALL Merkava.00407160
005A5D21   . 8D55 D8        LEA EDX,DWORD PTR SS:[EBP-0x28]
005A5D24   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5D27   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5D2A   . 8B40 14        MOV EAX,DWORD PTR DS:[EAX+0x14]
005A5D2D   . E8 EAD3E6FF    CALL Merkava.0041311C
005A5D32   . 8B45 D8        MOV EAX,DWORD PTR SS:[EBP-0x28]
005A5D35   . BA 20695A00    MOV EDX,Merkava.005A6920                 ;  UNICODE "expire"
005A5D3A   . E8 A91BE6FF    CALL Merkava.004078E8
005A5D3F   . 75 42          JNZ SHORT Merkava.005A5D83
005A5D41   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5D44   . 8B58 0C        MOV EBX,DWORD PTR DS:[EAX+0xC]
005A5D47   . C643 04 00     MOV BYTE PTR DS:[EBX+0x4],0x0
005A5D4B   . 8D43 14        LEA EAX,DWORD PTR DS:[EBX+0x14]
005A5D4E   . 33D2           XOR EDX,EDX
005A5D50   . E8 0B14E6FF    CALL Merkava.00407160
005A5D55   . 6A 03          PUSH 0x3
005A5D57   . 8D45 D4        LEA EAX,DWORD PTR SS:[EBP-0x2C]
005A5D5A   . 8B55 F4        MOV EDX,DWORD PTR SS:[EBP-0xC]
005A5D5D   . 8B5A 0C        MOV EBX,DWORD PTR DS:[EDX+0xC]
005A5D60   . 8B53 24        MOV EDX,DWORD PTR DS:[EBX+0x24]
005A5D63   . E8 B415E6FF    CALL Merkava.0040731C
005A5D68   . 8B4D D4        MOV ECX,DWORD PTR SS:[EBP-0x2C]
005A5D6B   . 8BC3           MOV EAX,EBX
005A5D6D   . BA 04695A00    MOV EDX,Merkava.005A6904                 ;  UNICODE "Merkava"
005A5D72   . E8 85F0FFFF    CALL Merkava.005A4DFC
005A5D77   . 33DB           XOR EBX,EBX
005A5D79   . E8 5EFEE5FF    CALL Merkava.00405BDC
005A5D7E   . E9 1C010000    JMP Merkava.005A5E9F
005A5D83   > 8D4D D0        LEA ECX,DWORD PTR SS:[EBP-0x30]
005A5D86   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5D89   . 8B40 10        MOV EAX,DWORD PTR DS:[EAX+0x10]
005A5D8C   . 33D2           XOR EDX,EDX
005A5D8E   . 8B18           MOV EBX,DWORD PTR DS:[EAX]
005A5D90   . FF53 0C        CALL DWORD PTR DS:[EBX+0xC]
005A5D93   . 8B45 D0        MOV EAX,DWORD PTR SS:[EBP-0x30]
005A5D96   . BA 3C695A00    MOV EDX,Merkava.005A693C                 ;  UNICODE "86400000"
005A5D9B   . E8 481BE6FF    CALL Merkava.004078E8
005A5DA0   . 75 43          JNZ SHORT Merkava.005A5DE5
005A5DA2   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5DA5   . 8B58 0C        MOV EBX,DWORD PTR DS:[EAX+0xC]
005A5DA8   . C643 04 01     MOV BYTE PTR DS:[EBX+0x4],0x1
005A5DAC   . 6A 01          PUSH 0x1
005A5DAE   . 8D45 C8        LEA EAX,DWORD PTR SS:[EBP-0x38]
005A5DB1   . 8B53 28        MOV EDX,DWORD PTR DS:[EBX+0x28]
005A5DB4   . E8 6315E6FF    CALL Merkava.0040731C
005A5DB9   . FF75 C8        PUSH DWORD PTR SS:[EBP-0x38]
005A5DBC   . FF73 14        PUSH DWORD PTR DS:[EBX+0x14]
005A5DBF   . 68 5C695A00    PUSH Merkava.005A695C
005A5DC4   . 8D45 CC        LEA EAX,DWORD PTR SS:[EBP-0x34]
005A5DC7   . BA 03000000    MOV EDX,0x3
005A5DCC   . E8 5719E6FF    CALL Merkava.00407728
005A5DD1   . 8B4D CC        MOV ECX,DWORD PTR SS:[EBP-0x34]
005A5DD4   . 8BC3           MOV EAX,EBX
005A5DD6   . BA 04695A00    MOV EDX,Merkava.005A6904                 ;  UNICODE "Merkava"
005A5DDB   . E8 1CF0FFFF    CALL Merkava.005A4DFC
005A5DE0   . E9 89000000    JMP Merkava.005A5E6E
005A5DE5   > 8D4D C4        LEA ECX,DWORD PTR SS:[EBP-0x3C]
005A5DE8   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5DEB   . 8B40 10        MOV EAX,DWORD PTR DS:[EAX+0x10]
005A5DEE   . 33D2           XOR EDX,EDX
005A5DF0   . 8B18           MOV EBX,DWORD PTR DS:[EAX]
005A5DF2   . FF53 0C        CALL DWORD PTR DS:[EBX+0xC]
005A5DF5   . 8B45 C4        MOV EAX,DWORD PTR SS:[EBP-0x3C]
005A5DF8   . BA 6C695A00    MOV EDX,Merkava.005A696C                 ;  UNICODE "9223372036854775807"
005A5DFD   . E8 E61AE6FF    CALL Merkava.004078E8
005A5E02   . 75 28          JNZ SHORT Merkava.005A5E2C
005A5E04   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5E07   . 8B58 0C        MOV EBX,DWORD PTR DS:[EAX+0xC]
005A5E0A   . C643 04 01     MOV BYTE PTR DS:[EBX+0x4],0x1
005A5E0E   . 6A 01          PUSH 0x1
005A5E10   . 8D45 C0        LEA EAX,DWORD PTR SS:[EBP-0x40]
005A5E13   . 8B53 2C        MOV EDX,DWORD PTR DS:[EBX+0x2C]
005A5E16   . E8 0115E6FF    CALL Merkava.0040731C
005A5E1B   . 8B4D C0        MOV ECX,DWORD PTR SS:[EBP-0x40]
005A5E1E   . 8BC3           MOV EAX,EBX
005A5E20   . BA 04695A00    MOV EDX,Merkava.005A6904                 ;  UNICODE "Merkava"
005A5E25   . E8 D2EFFFFF    CALL Merkava.005A4DFC
005A5E2A   . EB 42          JMP SHORT Merkava.005A5E6E
005A5E2C   > 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5E2F   . 8B58 0C        MOV EBX,DWORD PTR DS:[EAX+0xC]
005A5E32   . C643 04 01     MOV BYTE PTR DS:[EBX+0x4],0x1
005A5E36   . 8D43 08        LEA EAX,DWORD PTR DS:[EBX+0x8]
005A5E39   . 8B53 14        MOV EDX,DWORD PTR DS:[EBX+0x14]
005A5E3C   . E8 1F13E6FF    CALL Merkava.00407160
005A5E41   . 6A 01          PUSH 0x1
005A5E43   . 8D45 BC        LEA EAX,DWORD PTR SS:[EBP-0x44]
005A5E46   . 8B55 F4        MOV EDX,DWORD PTR SS:[EBP-0xC]
005A5E49   . 8B5A 0C        MOV EBX,DWORD PTR DS:[EDX+0xC]
005A5E4C   . 8B53 30        MOV EDX,DWORD PTR DS:[EBX+0x30]
005A5E4F   . E8 C814E6FF    CALL Merkava.0040731C
005A5E54   . 8D45 BC        LEA EAX,DWORD PTR SS:[EBP-0x44]
005A5E57   . 8B53 14        MOV EDX,DWORD PTR DS:[EBX+0x14]
005A5E5A   . E8 2517E6FF    CALL Merkava.00407584
005A5E5F   . 8B4D BC        MOV ECX,DWORD PTR SS:[EBP-0x44]
005A5E62   . 8BC3           MOV EAX,EBX
005A5E64   . BA 04695A00    MOV EDX,Merkava.005A6904                 ;  UNICODE "Merkava"
005A5E69   . E8 8EEFFFFF    CALL Merkava.005A4DFC
005A5E6E   > 33C0           XOR EAX,EAX
005A5E70   . 5A             POP EDX
005A5E71   . 59             POP ECX
005A5E72   . 59             POP ECX
005A5E73   . 64:8910        MOV DWORD PTR FS:[EAX],EDX
005A5E76   . 68 905E5A00    PUSH Merkava.005A5E90
005A5E7B   > 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5E7E   . 8B40 10        MOV EAX,DWORD PTR DS:[EAX+0x10]
005A5E81   . B2 01          MOV DL,0x1
005A5E83   . 8B08           MOV ECX,DWORD PTR DS:[EAX]
005A5E85   . FF51 FC        CALL DWORD PTR DS:[ECX-0x4]
005A5E88   . C3             RETN
005A5E89   .^E9 7AFBE5FF    JMP Merkava.00405A08
005A5E8E   .^EB EB          JMP SHORT Merkava.005A5E7B
005A5E90   . 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5E93   . 8B40 0C        MOV EAX,DWORD PTR DS:[EAX+0xC]
005A5E96   . 0FB658 04      MOVZX EBX,BYTE PTR DS:[EAX+0x4]
005A5E9A   . E8 650C0000    CALL Merkava.005A6B04
005A5E9F   > 33C0           XOR EAX,EAX
005A5EA1   . 5A             POP EDX
005A5EA2   . 59             POP ECX
005A5EA3   . 59             POP ECX
005A5EA4   . 64:8910        MOV DWORD PTR FS:[EAX],EDX
005A5EA7   . 68 D15E5A00    PUSH Merkava.005A5ED1
005A5EAC   > 8D45 BC        LEA EAX,DWORD PTR SS:[EBP-0x44]
005A5EAF   . BA 0E000000    MOV EDX,0xE
005A5EB4   . E8 9F12E6FF    CALL Merkava.00407158
005A5EB9   . 8D45 F8        LEA EAX,DWORD PTR SS:[EBP-0x8]
005A5EBC   . E8 A742E6FF    CALL Merkava.0040A168
005A5EC1   . 8D45 FC        LEA EAX,DWORD PTR SS:[EBP-0x4]
005A5EC4   . E8 8712E6FF    CALL Merkava.00407150
005A5EC9   . C3             RETN
005A5ECA   .^E9 39FBE5FF    JMP Merkava.00405A08
005A5ECF   .^EB DB          JMP SHORT Merkava.005A5EAC
005A5ED1   . 8BC3           MOV EAX,EBX
005A5ED3   . 5E             POP ESI
005A5ED4   . 5B             POP EBX
005A5ED5   . 8BE5           MOV ESP,EBP
005A5ED7   . 5D             POP EBP
005A5ED8   . C3             RETN


Citar
005A53A9  |. A1 AC525A00    MOV EAX,DWORD PTR DS:[0x5A52AC]
005A53AE  |. E8 2DFCE5FF    CALL Merkava.00404FE0
005A53B3  |. 8BF0           MOV ESI,EAX
005A53B5  |. 8D45 FC        LEA EAX,DWORD PTR SS:[EBP-0x4]
005A53B8  |. 8BD6           MOV EDX,ESI
005A53BA  |. 85D2           TEST EDX,EDX
005A53BC  |. 74 03          JE SHORT Merkava.005A53C1
005A53BE  |. 83EA F8        SUB EDX,-0x8
005A53C1  |> E8 BA4DE6FF    CALL Merkava.0040A180
005A53C6  |. FF73 3C        PUSH DWORD PTR DS:[EBX+0x3C]
005A53C9  |. FF73 38        PUSH DWORD PTR DS:[EBX+0x38]
005A53CC  |. 8D4D F8        LEA ECX,DWORD PTR SS:[EBP-0x8]
005A53CF  |. BA 68545A00    MOV EDX,Merkava.005A5468                 ;  UNICODE "http://62.152.59.247/license/"
005A53D4  |. 8BC3           MOV EAX,EBX
005A53D6  |. E8 AD180000    CALL Merkava.005A6C88
005A53DB  |. 8B45 F8        MOV EAX,DWORD PTR SS:[EBP-0x8]
005A53DE  |. BA B0545A00    MOV EDX,Merkava.005A54B0                 ;  UNICODE "86A6BCDD28E0CAF6D0D38B2FC98B0304"
005A53E3  |. E8 0025E6FF    CALL Merkava.004078E8
005A53E8  |. 74 0E          JE SHORT Merkava.005A53F8
005A53EA  |. 8BC6           MOV EAX,ESI
005A53EC  |. 85C0           TEST EAX,EAX
005A53EE  |. 74 03          JE SHORT Merkava.005A53F3
005A53F0  |. 83E8 F0        SUB EAX,-0x10
005A53F3  |> E8 FCAFF5FF    CALL Merkava.005003F4
005A53F8  |> FF73 44        PUSH DWORD PTR DS:[EBX+0x44]
005A53FB  |. FF73 40        PUSH DWORD PTR DS:[EBX+0x40]
005A53FE  |. 8D4D F4        LEA ECX,DWORD PTR SS:[EBP-0xC]
005A5401  |. BA 00555A00    MOV EDX,Merkava.005A5500                 ;  UNICODE "62.152.59.247"
005A5406  |. 8BC3           MOV EAX,EBX
005A5408  |. E8 7B180000    CALL Merkava.005A6C88
005A540D  |. 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-0xC]
005A5410  |. BA 28555A00    MOV EDX,Merkava.005A5528                 ;  UNICODE "E0611A7E1C116539A926FE4EF39BC561"
005A5415  |. E8 CE24E6FF    CALL Merkava.004078E8
005A541A  |. 74 0E          JE SHORT Merkava.005A542A
« Última modificación: 23 Agosto 2013, 23:15 pm por apuromafo » En línea
Apuromafo
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Agregar plugin IsdebuggerPresent
Ingeniería Inversa 		SpeDhy 7 7,528 Último mensaje 27 Enero 2008, 22:58 pm
por Shaddy
Packer C#
.NET (C#, VB.NET, ASP) 		KJD 0 2,819 Último mensaje 26 Septiembre 2008, 17:52 pm
por KJD
Deteccion de Packer.
Ingeniería Inversa 		Xavierk 6 6,051 Último mensaje 19 Diciembre 2008, 20:41 pm
por Xavierk
[WarScriptZone]Manual IsDebuggerPresent
Ingeniería Inversa 		The Swash 3 3,571 Último mensaje 10 Enero 2012, 15:17 pm
por The Swash
¿Que packer/protector es este?
Ingeniería Inversa 		josue9243 5 5,132 Último mensaje 12 Abril 2018, 03:07 am
por apuromafo CLS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines