elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  packer fake ninja v2.0?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: packer fake ninja v2.0?  (Leído 5,626 veces)
<housedir>

Desconectado Desconectado

Mensajes: 199



Ver Perfil
packer fake ninja v2.0?
« en: 26 Enero 2010, 21:50 pm »

buenas pss veran tengo un programita el cual esta protegido por el pack fake ninja 2.0 muy poco conocido a mi parecer, e estado buscando como desempaquetarlo y he encontrado un tuto en ingles q dice como hacerlo, el problema es q la explicacion que sale en ese tuto no se parece nada a mi caso, porq en el tuto el Entry Point a el le sale una llamada osea un CALL luego coloca un breakpoint en el primer retrn que le sale y de hay salta con F7 a PUSH EBP y lo que hace es modificar con el ollydump la llamada hacia el PUSH EBP, en mi caso es extraño porq mi Entry point es de una ves el PUSH EBP, y nose cual llamada usar, la verdad si me pudieran ayudar se los agradeceria soy algo novato en este tema pero me gusta aprender, use el RDG Packer Detector y me dijo q estaba protegido por ese pack y de paso me dijo que tenia capacidad de agregar signaturas falsas...

muchas gracias
En línea

Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...
Mintaka

Desconectado Desconectado

Mensajes: 72



Ver Perfil
Re: packer fake ninja v2.0?
« Respuesta #1 en: 27 Enero 2010, 00:54 am »

Prueba con otro detector para estar seguro de que es ese packer.
Puedes usar este otro si quieres:

http://www.exeinfo.xwp.pl/

Suerte,

Mintaka
En línea

Si lloras por no ver el Sol tus lágrimas no te dejarán ver las estrellas.(Tagore)
<housedir>

Desconectado Desconectado

Mensajes: 199



Ver Perfil
Re: packer fake ninja v2.0?
« Respuesta #2 en: 27 Enero 2010, 06:30 am »

Mintaka, gracias por tu respuesta, pss veras ya yo habia probado con el exeinfo y esto es lo q me lanza: Not packed , try disassemble OllyDbg ( www.ollydbg.de ) or  WD32dsm89.exe ( www.exetools.com/disassemblers.htm )... saludos, si alguien esta interesado en analizar el programa avisenme por aqui para subirlo..
En línea

Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...
ThunderCls


Desconectado Desconectado

Mensajes: 455


Coder | Reverser | Gamer


Ver Perfil WWW
Re: packer fake ninja v2.0?
« Respuesta #3 en: 28 Enero 2010, 16:22 pm »

..., en mi caso es extraño porq mi Entry point es de una ves el PUSH EBP, ... use el RDG Packer Detector y me dijo q estaba protegido por ese pack y de paso me dijo que tenia capacidad de agregar signaturas falsas...

muchas gracias

Bueno, pues no soy experto en packers, pero si tu EP es un PUSH EBP, le pasastes el ExeInfoPe y te dice que nada de nada y ademas el RDG te dice algo de signaturas falsas....pues me voy por el criterio del RDG. Lo mas probable es que solo tengas una signatura falsa en tu exe y nada de fake ninja. No sé...que alguien me corrija si estoy equivocado....
sera un delphi???  :-\
En línea

-[ "…I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/
<housedir>

Desconectado Desconectado

Mensajes: 199



Ver Perfil
Re: packer fake ninja v2.0?
« Respuesta #4 en: 3 Febrero 2010, 19:27 pm »

si si es un delphi, ok hermano gracias por tu respuesta, ahora una progunta, como ago para saber entonces como esta protegido  :huh:, porq de q lo esta lo esta, pero ni idea de que proteccion tiene entonces  :-(
En línea

Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...
ThunderCls


Desconectado Desconectado

Mensajes: 455


Coder | Reverser | Gamer


Ver Perfil WWW
Re: packer fake ninja v2.0?
« Respuesta #5 en: 3 Febrero 2010, 21:51 pm »

cuando dices "protegido" te refieres a algun packer???...porque estas tan seguro???  :huh:
como dije anteriormente no soy experto en packers, pero si tu EP == OEP, pues se me da que no tienes packer en tu exe. De todas formas intenta lo siguiente:

1- Revisa los nombres de las secciones de tu ejecutable (si ves alguna sección que no deberia estar alli...bueno es un indicio de packer o algo asi)
2- Carga tu ejecutable en el Olly y correlo con F9. Luego detenlo e intenta hacer algun cambio en la sección code del mismo. Si tu aplicacion esta empacada no te dejara guardar los cambios en el ejecutable al no encontrar los bytes en disco, por el contrario si lo guarda sin problemas estas libre de packer o algo parecido.

Solo son algunas ideas de un newbie en lo que a packers se refiere...si alguien mas entendido en el tema quiere opinar...pues adelante

PD: Chequea este link ademas

http://www.woodmann.com/collaborative/tools/index.php/Category:Exe_Analyzers
saludos
En línea

-[ "…I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/
tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: packer fake ninja v2.0?
« Respuesta #6 en: 8 Febrero 2010, 06:20 am »

una forma de saber si está protegido es mirar en el memory map del olly en la sección code si el oep (o ep) estan en esa sección, los packers tienen la costumbre de alojar el ep en otra dirección por lo gral
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
packer desconocido
Ingeniería Inversa
Revolutions 7 6,234 Último mensaje 21 Febrero 2011, 11:52 am
por Revolutions
RDG packer dectector 0.6.7 con virus..?
Ingeniería Inversa
Tinkipinki 5 3,689 Último mensaje 23 Octubre 2011, 21:10 pm
por Tinkipinki
Ayuda !! RDG Packer Detector
Ingeniería Inversa
emilianoDERBI 3 4,192 Último mensaje 20 Enero 2012, 00:52 am
por jackgris
Mejor packer?
Ingeniería Inversa
Wd10 5 3,206 Último mensaje 24 Enero 2013, 07:38 am
por Wd10
¿Que packer/protector es este?
Ingeniería Inversa
josue9243 5 5,131 Último mensaje 12 Abril 2018, 03:07 am
por apuromafo CLS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines