 Autor
|
Tema: packer desconocido (Leído 5,931 veces)
|
Revolutions
 Desconectado
Mensajes: 113
|
¿Como puedo saber el packer que tiene este exe? Lo he intentado con las herramientas habituales y me dicen que no tienen menos uno que dice que no pero hay algo sospechoso, al cargarlo con Olly me dice que se ha detectado. El archivo en cuestion esta en lenguaje Visual FoxPro el archivo normalmente tiene un tamaño de 11MB +/- y ahora unos 4,82MB, puede ser un packer o un compresor. ¿como deberia proceder para saber a que me enfrento? http://www.megaupload.com/?d=5ACM6792http://www.mediafire.com/?7pen7rucmz3th1wGRACIAS |
|
|
|
« Última modificación: 12 Enero 2011, 20:14 pm por Revolutions »
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Parece ser un FoxPro, pero lo han cambiado.
Por lo pronto, el OEP parece estar en 401873.
Toda la parte que se ejecuta, puede desofuscarse quitando los bytes E9 que sobran (que estan insertados en el codigo). Ahi vas a ver como carga APIs y llama a VirtualProtect.
La verdad, no lo he mirado mucho por falta de tiempo, pero con estos tips, seguro que lo sacas.
NOTA: Casi todo el EXE es puro Overlay. El EXE real parece ser de 352Kb. No estoy seguro, pero creo que los FoxPro trabajan asi: El EXE que corre y toda la aplicacion como Overlay.
Saludos!
|
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
Revolutions
Desconectado
Mensajes: 113
|
Gracias MCKSys, lo siento pero no se seguir con tus indicaciones, si quieres dime como elimino los bytes E9.
El OEP me sale el 0040401B
GRACIAS por tu ayuda
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Hola! Bueno, aca te dejo este pequeño script para Odbgscript, con el que podras quitar la ofuscacion de codigo. Ejecutalo estando en el EP del programa. var addr
mov addr, eip
sub addr, 1B
bucle:
find addr, #EB01??#
mov addr, $RESULT
cmp addr, 0
je nomas
mov [addr], 90,1
mov [addr+1], 90,1
mov [addr+2], 90,1
jmp bucle
nomas:
ret
Con esto el codigo quedara "limpio"  Saludos! |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
Revolutions
Desconectado
Mensajes: 113
|
Hola MCKSys Argentina
Me da un error en la linea 9
algo asi
Ollyscript Error
Error on line 9
Text: mov [addr], 90,1
Gracias chico
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Yo uso OdbgScript v1.78.3 y no me da problemas...  Saludos! |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
Revolutions
Desconectado
Mensajes: 113
|
Gracias, era eso que la version mia era antigua.
Saludos
|
|
|
|
|
En línea
|
|
|
|
Revolutions
Desconectado
Mensajes: 113
|
a ver si me pueden dar una mano, no consigo donde esta el punto caliente, en references string no tiene nada, busco en memory y pongo un breakpoint on acces en el kiko malo, lo dejo correr y entonces traceo a lo retro, pero despues de mucho tiempo no lo consigo algo estoy haciendo mal o no estoy haciendo. Agradeceria una ayuda por favor.
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
No me arranca el RDG Packer Detector
Ingeniería Inversa
|
sborin
|
3
|
3,424
|
17 Abril 2006, 21:52 pm
por Revolutions
|
|
|
|
Duda sobre RDG Packer Detector
Ingeniería Inversa
|
krc_4u
|
1
|
4,882
|
12 Agosto 2006, 15:37 pm
por krc_4u
|
|
|
|
Packer C#
.NET (C#, VB.NET, ASP)
|
KJD
|
0
|
2,685
|
26 Septiembre 2008, 17:52 pm
por KJD
|
|
|
|
Deteccion de Packer.
Ingeniería Inversa
|
Xavierk
|
6
|
5,797
|
19 Diciembre 2008, 20:41 pm
por Xavierk
|
|
|
|
packer fake ninja v2.0?
Ingeniería Inversa
|
<housedir>
|
6
|
5,390
|
8 Febrero 2010, 06:20 am
por tincopasan
|
 |
