elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  packer desconocido
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: packer desconocido  (Leído 6,248 veces)
Revolutions

Desconectado Desconectado

Mensajes: 113


Ver Perfil
packer desconocido
« en: 12 Enero 2011, 20:09 pm »

¿Como puedo saber el packer que tiene este exe?

Lo he intentado con las herramientas habituales y me dicen que no tienen menos uno que dice que no pero hay algo sospechoso, al cargarlo con Olly me dice que se ha detectado. El archivo en cuestion esta en lenguaje Visual FoxPro el archivo normalmente tiene un tamaño de 11MB +/- y ahora unos 4,82MB, puede ser un packer o un compresor.

¿como deberia proceder para saber a que me enfrento?

http://www.megaupload.com/?d=5ACM6792
http://www.mediafire.com/?7pen7rucmz3th1w

GRACIAS
« Última modificación: 12 Enero 2011, 20:14 pm por Revolutions » En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: packer desconocido
« Respuesta #1 en: 12 Enero 2011, 23:15 pm »

Parece ser un FoxPro, pero lo han cambiado.

Por lo pronto, el OEP parece estar en 401873.

Toda la parte que se ejecuta, puede desofuscarse quitando los bytes E9 que sobran (que estan insertados en el codigo). Ahi vas a ver como carga APIs y llama a VirtualProtect.

La verdad, no lo he mirado mucho por falta de tiempo, pero con estos tips, seguro que lo sacas.

NOTA: Casi todo el EXE es puro Overlay. El EXE real parece ser de 352Kb. No estoy seguro, pero creo que los FoxPro trabajan asi: El EXE que corre y toda la aplicacion como Overlay.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Revolutions

Desconectado Desconectado

Mensajes: 113


Ver Perfil
Re: packer desconocido
« Respuesta #2 en: 17 Enero 2011, 18:58 pm »

Gracias MCKSys, lo siento pero no se seguir con tus indicaciones, si quieres dime como elimino los bytes E9.
El OEP me sale el 0040401B

GRACIAS por tu ayuda
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: packer desconocido
« Respuesta #3 en: 18 Enero 2011, 20:32 pm »

Hola!

Bueno, aca te dejo este pequeño script para Odbgscript, con el que podras quitar la ofuscacion de codigo.

Ejecutalo estando en el EP del programa.

Código:
var addr

mov addr, eip
sub addr, 1B

bucle:
find addr, #EB01??#
mov addr, $RESULT
cmp addr, 0
je nomas
mov [addr], 90,1
mov [addr+1], 90,1
mov [addr+2], 90,1
jmp bucle

nomas:
ret

Con esto el codigo quedara "limpio"  ;)

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Revolutions

Desconectado Desconectado

Mensajes: 113


Ver Perfil
Re: packer desconocido
« Respuesta #4 en: 15 Febrero 2011, 20:19 pm »

Hola MCKSys Argentina
Me da un error en la linea 9

algo asi

Ollyscript Error
Error on line 9
Text: mov [addr], 90,1

Gracias chico
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: packer desconocido
« Respuesta #5 en: 15 Febrero 2011, 20:40 pm »

Yo uso OdbgScript v1.78.3 y no me da problemas... :)

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Revolutions

Desconectado Desconectado

Mensajes: 113


Ver Perfil
Re: packer desconocido
« Respuesta #6 en: 15 Febrero 2011, 21:49 pm »

Gracias, era eso que la version mia era antigua.

Saludos
En línea

Revolutions

Desconectado Desconectado

Mensajes: 113


Ver Perfil
Re: packer desconocido
« Respuesta #7 en: 21 Febrero 2011, 11:52 am »

a ver si me pueden dar una mano, no consigo donde esta el punto caliente, en references string no tiene nada, busco en memory y pongo un breakpoint on acces en el kiko malo, lo dejo correr y entonces traceo a lo retro, pero despues de mucho tiempo no lo consigo algo estoy haciendo mal o no estoy haciendo. Agradeceria una ayuda por favor.

Saludos
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
No me arranca el RDG Packer Detector
Ingeniería Inversa
sborin 3 3,618 Último mensaje 17 Abril 2006, 21:52 pm
por Revolutions
Duda sobre RDG Packer Detector
Ingeniería Inversa
krc_4u 1 5,144 Último mensaje 12 Agosto 2006, 15:37 pm
por krc_4u
Packer C#
.NET (C#, VB.NET, ASP)
KJD 0 2,826 Último mensaje 26 Septiembre 2008, 17:52 pm
por KJD
Deteccion de Packer.
Ingeniería Inversa
Xavierk 6 6,070 Último mensaje 19 Diciembre 2008, 20:41 pm
por Xavierk
packer fake ninja v2.0?
Ingeniería Inversa
<housedir> 6 5,635 Último mensaje 8 Febrero 2010, 06:20 am
por tincopasan
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines