elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Mi primera cruzada contra un EXECryptor ?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Mi primera cruzada contra un EXECryptor ?  (Leído 7,455 veces)
TrashAmbishion


Desconectado Desconectado

Mensajes: 756


Ver Perfil
Mi primera cruzada contra un EXECryptor ?
« en: 3 Septiembre 2013, 00:39 am »

Bueno les comento que he metido la pata hasta la ultimo, porque mi esposa me pidio un jueguito de modas y cosas por el estilo, y un colega mio tuvo la amabilidad de regalarme uno sin crack, entonces quise experimentar y lo tire contra el RDG y vean lo que muestra:



Mi pregunta es porque veran cuando lo puse en el Olly no veo el tipico EP de este crypter que veo en los tutoriales.



Nada mas me dice eso que ven en la imagen no me carga la otra ventanita diciendome que tiene mas protecciones...

Pero bueno aunque no tenga la misma pinta le puedo aplicar los mismos metodos que ya se han visto.

Muchas gracias cualquier respuesta u orientación. !
En línea

Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Re: Mi primera cruzada contra un EXECryptor ?
« Respuesta #1 en: 3 Septiembre 2013, 02:17 am »

hola TrashAmbishion puedes mandarme una muestra del juego por privado aver que le puedo hacer o de donde lo bajo

saludos flamer a que sea por sendspace o por ultrashare
En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

EscritoEstáSatanás

Desconectado Desconectado

Mensajes: 33


Ver Perfil
Re: Mi primera cruzada contra un EXECryptor ?
« Respuesta #2 en: 3 Septiembre 2013, 02:29 am »

TrashAmbishion:

Puedes mandarme por privado el "Programa", yo hecharé un vistazo a ver que...
En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: Mi primera cruzada contra un EXECryptor ?
« Respuesta #3 en: 3 Septiembre 2013, 15:10 pm »

Te recomiendo que empieces por aquí:

OllyDbg - ExeCryptor Edition
http://tuts4you.com/download.php?view.553

Es una modificación de OllyDbg 1.10 especializada en ejecutable con EXE Cryptor, tiene la config, plugins y script's necesarios para rebentar ese packer.

Saludos
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
TrashAmbishion


Desconectado Desconectado

Mensajes: 756


Ver Perfil
Re: Mi primera cruzada contra un EXECryptor ?
« Respuesta #4 en: 4 Septiembre 2013, 15:15 pm »

Te recomiendo que empieces por aquí:

OllyDbg - ExeCryptor Edition
http://tuts4you.com/download.php?view.553

Es una modificación de OllyDbg 1.10 especializada en ejecutable con EXE Cryptor, tiene la config, plugins y script's necesarios para rebentar ese packer.

Saludos

Gracias bro,

Tienes otras modificaciones para los otros Packers como Aspack, ACprotect, Pe en fin...

PD: Cuando vi la cantidad de Plugins que trae pense que iba a crackear el windows  :xD :xD :xD :xD :xD

Thx again..
En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: Mi primera cruzada contra un EXECryptor ?
« Respuesta #5 en: 4 Septiembre 2013, 15:22 pm »

jajaja

el script para EXE Cryptor que tengo es el siguiente:

Código
  1. //Execryptor 2.x IAT rebuilder by KaGra v1.1
  2.  
  3. //This script may not resolve all pointers,or may resolve a few wrong...Fix them manually then;)
  4. //THE VALUE OF thersa IS CRUCIAL FOR THE RIGHT API RESOLVING,SO IF U HAVE INVALIDS (CHECK WHERE THE EXE
  5. //CRASHES) RUN THE SCRIPT AGAIN WITH A HIGHER OR LOWER LAVUE OF THAT value here (SEE where in script is that value)
  6. //In case the app crashes,do those thersa changes and re-run or re-run from APIfailed+4 pointer,having
  7. //saved the previous pointers.This that cannot be resolved,find it tracing,manually (or again change thersa)
  8. //You can also play with IATstart and IATend values,are what their name say...
  9. //This script can fix all or the most of them ;)...EnJoY
  10. //In zip is notepad packed,and the script succeeds in all IAT APIs :)
  11. //No need to be at OEP,and you should not be.It may not work at OEP...but i assume easier to find
  12. //a place not at OEP.Just run the exe and bp on code section...u should land somewhere in the code ;)
  13. //Then the script rulez...
  14. //So,changing a little bit the script,can resolva all pointerz ;)
  15.  
  16.  
  17.  
  18.  
  19. //only the rets,standard hard-coded tracer
  20.  
  21. var IATstart
  22. var IATend
  23. var temp
  24. var size
  25. var temp2
  26. var size2
  27. var temp3
  28. var temp4
  29. var temp5
  30. var thersa
  31.  
  32. mov thersa,10  
  33.  
  34. mov temp5,esp
  35.  
  36. mov IATstart,004CE000
  37. mov IATend,004CE824
  38.  
  39.  
  40. again:
  41.  
  42. mov esp,temp5
  43.  
  44.  
  45. mov temp2,[IATstart]
  46.  
  47. cmp temp2,00000000
  48. je here //in case of zeros,somewhere is a bug...
  49. cmp temp2,50000000
  50. ja here //in case that the IAT has a valid pointer :)
  51.  
  52. mov eip,temp2
  53.  
  54. mov [esp],eip
  55.  
  56.  
  57. exec
  58. ret
  59. ende
  60.  
  61.  
  62.  
  63. sub esp,4
  64.  
  65. BPHWS esp,"r"
  66. mov temp2,esp
  67. add esp,4
  68.  
  69. esto
  70.  
  71. check:
  72.  
  73.  
  74. BPHWC temp2
  75.  
  76. mov temp3,eip
  77. gn temp3
  78. cmp $RESULT_2,0
  79. je checkF7
  80.  
  81. ok:
  82.  
  83. mov temp2,eip
  84. mov [IATstart],temp2 // found!!
  85. add IATstart,4
  86. cmp IATstart,IATend
  87. je endit
  88. sub IATstart,4
  89.  
  90. here:
  91.  
  92.  
  93. add IATstart,4
  94. cmp IATstart,IATend
  95. je endit
  96.  
  97. jmp again
  98.  
  99.  
  100.  
  101. notfound:
  102. BPHWS temp2,"r"
  103. esto
  104. jmp check
  105.  
  106.  
  107.  
  108. checkF7:
  109.  
  110. sti
  111. mov temp3,eip
  112. gn temp3
  113. cmp $RESULT_2,0
  114. jne ok
  115. dec thersa
  116. cmp thersa,0
  117. jne checkF7
  118.  
  119. mov thersa,10 //for next time
  120.  
  121.  
  122. jmp notfound
  123.  
  124.  
  125.  
  126. endit:
  127. ret
  128.  

De todas formas, siempre y cuando tengas tiempo, sería bueno que uses éste ejemplo para aprender a desempacar manualmente ésta protección. Es como realmente se aprende. Si quieres más modificaciones de Olly para otros packers...

http://tuts4you.com/download.php?list.4
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
TrashAmbishion


Desconectado Desconectado

Mensajes: 756


Ver Perfil
Re: Mi primera cruzada contra un EXECryptor ?
« Respuesta #6 en: 4 Septiembre 2013, 23:07 pm »

Holas de nuevo,

Bueno me dio por llegarme tuts4you.com gracias a ManDtrax y encontre esto:

http://forum.tuts4you.com/topic/31641-execryptor-basic-unpacker-10/?hl=execryptor

Siguiendo los pasos de ese tutorial, despues de dar el 2do Resume el Script termina, nose porque me parece que este programa no le pusieron muchas protecciones, nada mas que el Anti-Trace alguien pudo hacer algo...


PD: Despues de pasarle el Script supongo tengo que Dumpear y corregir los Invalid, verad? corriganme... bye

Salu2
En línea

Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Re: Mi primera cruzada contra un EXECryptor ?
« Respuesta #7 en: 4 Septiembre 2013, 23:48 pm »

Citar
PD: Despues de pasarle el Script supongo
tengo que Dumpear y corregir los Invalid,
verad? corriganme... bye
Salu2

si te lleba al OEP es dumpear y reparar la IAT y las apis de la IAT invalidas

saludos flamer y mensage privado
En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

TrashAmbishion


Desconectado Desconectado

Mensajes: 756


Ver Perfil
Re: Mi primera cruzada contra un EXECryptor ?
« Respuesta #8 en: 4 Septiembre 2013, 23:52 pm »

si te lleba al OEP es dumpear y reparar la IAT y las apis de la IAT invalidas

saludos flamer y mensage privado

Lo mirare con mas calma en la casa, pero estoy haciendo lo mismo que en ese tutorial y no me resulta...

Que es lo que hace el Anti-Trace que no me deje debuguearlo normalmente...??
En línea

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: Mi primera cruzada contra un EXECryptor ?
« Respuesta #9 en: 5 Septiembre 2013, 21:05 pm »

http://www.ricardonarvaja.info/WEB/buscador.php  "execyptor"

hay un super compendio de evolution, en tuts4you hay tutoriales de Sunbeam, kioresk, LCF  todos hablan temas diversos

evolution: como desempacar y en parte reconstruir
Sunbeam: sobre las sdk, reconstruir codigo y quitar la máquina virtual en ciertos execryptor
LCF: formas de desempacar genéricas, video tutoriales y mas.

yo: he visto muchos execryptor, algunos son más dificiles que otros, el antitrace y las sdk son formas de evitar tracear o sacar información sensible o importante, pero quien realmente le interesa registrar un programa con execryptor, pierde muchisimo tiempo. Ejemplo CANU 
no es algo que algun novato o nuevo pueda hacer a la brevedad

herramientas sugeridas para cualquier execryptor:
un ollydbg para execryptor edition,
script que ayuden a encontrar el oep (virtual) o el oep real:
script para quitar la VM, o usar tools otorgadas en el mega compendio de evolution
reconocer el check de CRC según versión  (método enseñado por kioresk)
reconstruir código (enseñado por sunbeam, y otros)
unpacker por RSI  (mejor en su especie) para encontrar el oep
o bien inlinearlo (método por sunbeam entre otros autores, usando la técnica de RSI o teams privados)

saludos Cordiales, Apuromafo
pd:enviarlo para mi sería perder muchisimo tiempo

algún crackme para conocer execryptor
http://crackmes.de/users/relayer/execryptor_official_crackme/
pd: el oep real de ese crackme es 44301C , en la solución inglesa de kao fue reconstruido y explicado bastantes cosas importantes, otras importantes son de haggar en versiones anteriores, y de otros autores

Insisto, este tema de execryptor da para mucho tiempo, tendrás que terminar las teorías numeradas (en las últimas ricardo narvaja revisa execryptor)



En línea

Apuromafo
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines