Autor
|
Tema: packer fake ninja v2.0? (Leído 5,626 veces)
|
<housedir>
Desconectado
Mensajes: 199
|
buenas pss veran tengo un programita el cual esta protegido por el pack fake ninja 2.0 muy poco conocido a mi parecer, e estado buscando como desempaquetarlo y he encontrado un tuto en ingles q dice como hacerlo, el problema es q la explicacion que sale en ese tuto no se parece nada a mi caso, porq en el tuto el Entry Point a el le sale una llamada osea un CALL luego coloca un breakpoint en el primer retrn que le sale y de hay salta con F7 a PUSH EBP y lo que hace es modificar con el ollydump la llamada hacia el PUSH EBP, en mi caso es extraño porq mi Entry point es de una ves el PUSH EBP, y nose cual llamada usar, la verdad si me pudieran ayudar se los agradeceria soy algo novato en este tema pero me gusta aprender, use el RDG Packer Detector y me dijo q estaba protegido por ese pack y de paso me dijo que tenia capacidad de agregar signaturas falsas...
muchas gracias
|
|
|
En línea
|
Titulo: Padre nuestro Padre Nuestro que estás en www.cielo.comSantificado sea tu server, venga a nosotros tu shareware Hágase tu downloading así en el http como en el ftp Danos hoy nuestro surfing de cada día, Perdona nuestros bugs como nosotros también perdonamos a Microsoft. No nos dejes caer en una Mac y líbranos de todo worm. Enter...
|
|
|
Mintaka
Desconectado
Mensajes: 72
|
Prueba con otro detector para estar seguro de que es ese packer. Puedes usar este otro si quieres: http://www.exeinfo.xwp.pl/Suerte, Mintaka
|
|
|
En línea
|
Si lloras por no ver el Sol tus lágrimas no te dejarán ver las estrellas.(Tagore)
|
|
|
<housedir>
Desconectado
Mensajes: 199
|
Mintaka, gracias por tu respuesta, pss veras ya yo habia probado con el exeinfo y esto es lo q me lanza: Not packed , try disassemble OllyDbg ( www.ollydbg.de ) or WD32dsm89.exe ( www.exetools.com/disassemblers.htm )... saludos, si alguien esta interesado en analizar el programa avisenme por aqui para subirlo..
|
|
|
En línea
|
Titulo: Padre nuestro Padre Nuestro que estás en www.cielo.comSantificado sea tu server, venga a nosotros tu shareware Hágase tu downloading así en el http como en el ftp Danos hoy nuestro surfing de cada día, Perdona nuestros bugs como nosotros también perdonamos a Microsoft. No nos dejes caer en una Mac y líbranos de todo worm. Enter...
|
|
|
ThunderCls
Desconectado
Mensajes: 455
Coder | Reverser | Gamer
|
..., en mi caso es extraño porq mi Entry point es de una ves el PUSH EBP, ... use el RDG Packer Detector y me dijo q estaba protegido por ese pack y de paso me dijo que tenia capacidad de agregar signaturas falsas...
muchas gracias
Bueno, pues no soy experto en packers, pero si tu EP es un PUSH EBP, le pasastes el ExeInfoPe y te dice que nada de nada y ademas el RDG te dice algo de signaturas falsas....pues me voy por el criterio del RDG. Lo mas probable es que solo tengas una signatura falsa en tu exe y nada de fake ninja. No sé...que alguien me corrija si estoy equivocado.... sera un delphi???
|
|
|
En línea
|
|
|
|
<housedir>
Desconectado
Mensajes: 199
|
si si es un delphi, ok hermano gracias por tu respuesta, ahora una progunta, como ago para saber entonces como esta protegido , porq de q lo esta lo esta, pero ni idea de que proteccion tiene entonces
|
|
|
En línea
|
Titulo: Padre nuestro Padre Nuestro que estás en www.cielo.comSantificado sea tu server, venga a nosotros tu shareware Hágase tu downloading así en el http como en el ftp Danos hoy nuestro surfing de cada día, Perdona nuestros bugs como nosotros también perdonamos a Microsoft. No nos dejes caer en una Mac y líbranos de todo worm. Enter...
|
|
|
ThunderCls
Desconectado
Mensajes: 455
Coder | Reverser | Gamer
|
cuando dices "protegido" te refieres a algun packer???...porque estas tan seguro??? como dije anteriormente no soy experto en packers, pero si tu EP == OEP, pues se me da que no tienes packer en tu exe. De todas formas intenta lo siguiente: 1- Revisa los nombres de las secciones de tu ejecutable (si ves alguna sección que no deberia estar alli...bueno es un indicio de packer o algo asi) 2- Carga tu ejecutable en el Olly y correlo con F9. Luego detenlo e intenta hacer algun cambio en la sección code del mismo. Si tu aplicacion esta empacada no te dejara guardar los cambios en el ejecutable al no encontrar los bytes en disco, por el contrario si lo guarda sin problemas estas libre de packer o algo parecido. Solo son algunas ideas de un newbie en lo que a packers se refiere...si alguien mas entendido en el tema quiere opinar...pues adelante PD: Chequea este link ademas http://www.woodmann.com/collaborative/tools/index.php/Category:Exe_Analyzerssaludos
|
|
|
En línea
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
una forma de saber si está protegido es mirar en el memory map del olly en la sección code si el oep (o ep) estan en esa sección, los packers tienen la costumbre de alojar el ep en otra dirección por lo gral
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
packer desconocido
Ingeniería Inversa
|
Revolutions
|
7
|
6,234
|
21 Febrero 2011, 11:52 am
por Revolutions
|
|
|
RDG packer dectector 0.6.7 con virus..?
Ingeniería Inversa
|
Tinkipinki
|
5
|
3,689
|
23 Octubre 2011, 21:10 pm
por Tinkipinki
|
|
|
Ayuda !! RDG Packer Detector
Ingeniería Inversa
|
emilianoDERBI
|
3
|
4,192
|
20 Enero 2012, 00:52 am
por jackgris
|
|
|
Mejor packer?
Ingeniería Inversa
|
Wd10
|
5
|
3,206
|
24 Enero 2013, 07:38 am
por Wd10
|
|
|
¿Que packer/protector es este?
Ingeniería Inversa
|
josue9243
|
5
|
5,131
|
12 Abril 2018, 03:07 am
por apuromafo CLS
|
|