 Autor
|
Tema: UPX scrambler y obsidium?? (Leído 4,936 veces)
|
<housedir>
 Desconectado
Mensajes: 199
|
buenas a todos, pss veran e conseguido un programa un poco particular, segun el RGD packer cuando selecciono metodo rapido me dice que el programa esta protegido con UPX eucaristico (scrambler) el q no tengo ni idea de que se trata ni como descomprimirlo ya que el metodo upx -d *programa, no me funciona, luego cuando selecciono multideteccion en el RGD packer me detecta que esta protegido con un packer llamado obsidium al cual le e conseguido un script para el olly q a segun lo desempaca, pero primero tengo q salir del UPX scrambler que no tengo ni idea de q es, si alguien sabe y me podria decir de donde puedo sacar info sobre ese upx se lo agradeceria, saludos
|
|
|
|
|
En línea
|
Titulo: Padre nuestro Padre Nuestro que estás en www.cielo.comSantificado sea tu server, venga a nosotros tu shareware Hágase tu downloading así en el http como en el ftp Danos hoy nuestro surfing de cada día, Perdona nuestros bugs como nosotros también perdonamos a Microsoft. No nos dejes caer en una Mac y líbranos de todo worm. Enter... |
|
|
|
WHK
|
Utiliza el ida pro, hay un plugin para upx que los desempaca.
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Hola!
También puedes saltearlo con Olly, usando el método del PUSHAD-POPAD. El UPX scrambler, es en teoría, lo mismo que UPX, pero modificado.
Con el método anterior, el OEP queda muy cerca. Sólo debes tracear un poco mas, hasta encontrar el "JMP largo".
Saludos!
|
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
<housedir>
Desconectado
Mensajes: 199
|
muchas gracias a los 2 por sus respuestas, primero me voy a guiar por la opcion de WHK que es la q veo mas facil, si me pudieras decir donde has visto el plugin o donde lo encuentro, porq e estado buscando plugins de upx para el ida pro y nada, si no lo consigo intentare entonces con el metodo pushad-popad... saludos a los 2
|
|
|
|
|
En línea
|
Titulo: Padre nuestro Padre Nuestro que estás en www.cielo.comSantificado sea tu server, venga a nosotros tu shareware Hágase tu downloading así en el http como en el ftp Danos hoy nuestro surfing de cada día, Perdona nuestros bugs como nosotros también perdonamos a Microsoft. No nos dejes caer en una Mac y líbranos de todo worm. Enter... |
|
|
<housedir>
Desconectado
Mensajes: 199
|
buenas a todos de nuevo, pss veran e conseguido una aplicacion llamada PE Explorer el cual se encarga de desempaquetar la mayoria de las variantes del UPX de la forma mas facil que puede haber solo abres el programa y el lo desempaca automaticamente, luego de desempaquetarlo lo paso de nuevo por el RGD packer y BINGO! O.o ya no tengo el upx pero ahora me detecta una signatura o no se ni lo que es llamada "Lockless Intro Pack" el cual no e conseguido nada de info sobre el y quisiera saber si alguno de ustedes a oido hablar de el . de antemano gracias
|
|
|
|
|
En línea
|
Titulo: Padre nuestro Padre Nuestro que estás en www.cielo.comSantificado sea tu server, venga a nosotros tu shareware Hágase tu downloading así en el http como en el ftp Danos hoy nuestro surfing de cada día, Perdona nuestros bugs como nosotros también perdonamos a Microsoft. No nos dejes caer en una Mac y líbranos de todo worm. Enter... |
|
|
|
MCKSys Argentina
|
Hola! La verdad, nunca me enfrenté a ese packer (y tampoco escuché de él  ) Lo que te puedo sugerir, son las teorías 312, 731 y 887 de la web de Ricardo Narvaja. Estas tratan el tema de enfrentar packers desconocidos. Las teorías están aqui: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/ Espero te sean útiles  Saludos! |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
<housedir>
Desconectado
Mensajes: 199
|
si bueno y es q hasta en google uno pone ese nombre y no sale casi nada de info es algo extraño, y lo peor es q me lo detecto despues que lo desempaquete del upx scrambler, lo que falta es que ahora desempaque este y me salga otra sorpresita por hay O.o ya parece un troyano cuando lo tratan de hacer indetectable, full de parcker XD. saludos
|
|
|
|
|
En línea
|
Titulo: Padre nuestro Padre Nuestro que estás en www.cielo.comSantificado sea tu server, venga a nosotros tu shareware Hágase tu downloading así en el http como en el ftp Danos hoy nuestro surfing de cada día, Perdona nuestros bugs como nosotros también perdonamos a Microsoft. No nos dejes caer en una Mac y líbranos de todo worm. Enter... |
|
|
tena
Desconectado
Mensajes: 668
|
Bueno ya lo vi, y solo es un simple upx, con el metodo pushad/popad lo sacas de un plumaso, dumpeas con LordPe y reconstruis la tabla de importaciones con ImportRec..
poniendo loas datos correctamente, oep-imagenbase, inicio iat-imgBase y size de la iat.
Ya solo queda un delphi
slds
|
|
|
|
|
En línea
|
|
|
|
<housedir>
Desconectado
Mensajes: 199
|
oye tena como q solo un UPX? tu lo lograste desempaquetar y abrir con el olly sin problemas?, porq yo logre quitarle el upx scrambler que tenia pero siguio proteguido con el lockless intro pack y el obsadium 1.2.
|
|
|
|
|
En línea
|
Titulo: Padre nuestro Padre Nuestro que estás en www.cielo.comSantificado sea tu server, venga a nosotros tu shareware Hágase tu downloading así en el http como en el ftp Danos hoy nuestro surfing de cada día, Perdona nuestros bugs como nosotros también perdonamos a Microsoft. No nos dejes caer en una Mac y líbranos de todo worm. Enter... |
|
|
|
 |
- 
