Foro de elhacker.net

Hola a todos, en primer lugar diré que soy un newbie en el tema de la ingeniería inversa y que recientemente he empezado con el curso de Ricardo Narvaja para el Ollydbg (llevo sólo 12 lecciones).

El problema que tengo es, más que nada la impaciencia, y como hace poco he aprendido ensamblador pues ya me he tirado a la piscina!!! Así que me he buscado un programa (Feeding Frenzy 2) para ver como afrontaría el saltarme la protección y me he dado con un canto en las narices ya que al abrirlo el Olly me da el siguiente mensaje :
Module 'FeedinF' has no entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifiying. Please keep it in mind when setting breakponits!

y, cuando le doy a aceptar me da otro mensaje:

Quick statistical test of module 'FeedingF' reports that its code section is either compressed, encrypted, or contains large amount of embedded data. Results of code analysis can be very unrealiable or simply wrong. Do you want to continue analysis?

y luego cuando miro el código me encuentro con líneas que contienen ???

así que no se como seguir.

Si alguien me orienta un poquillo se lo agradeceré y si me orienta un "muchillo" todavía se lo agradeceré más  ;D ;D ;D, en fin seguiré estudiando que ya se que todavía me falta muuuuucho por aprender!!!!

Gracias

eso es que esta comprimido. debes buscar un programita que se llama PEID o el RDG pack detector o el Stud PE.

si quieres aprender debes utilizar los programitas que tiene ricardo en el curso y cuando llegues a las lecciones treinta y pico empieza a explicar los programas comprimidos.

Chao.

Gracias Alejandro36.....lo que me pensaba, tendré paciencia, jejeje!!!

Casualmente karmany posteo un tutorial de unpacking en UPX, perfectamente aplicable a todo tipo de packers tipo "compresor" (UPX, ASpack, Upack, NeoLite, PeTite, etc...) creo que te ayudaría bastante por lo menos a tener una mención de como poder hacerlo.

Desempacando un UPX para Re-Newbies  (http://shaddy.co.nr/Tutoriales/CRACKSLATINOS/Desempaquetando un UPX para RE-Newbies por Shaddy.zip)

Salu2 :)..

De put...madre ShadowDark, muchas gracias!!!!!

Lo hice pensando para los que recien comienzan. Me gustaría (si puedes) que me comentes si te ha sido difícil comprenderlo, si lo has conseguido resolver y/o si te ha servido de algo. A estas alturas ya me es difícil ponerme a pensar como cuando empecé, y intento esforzarme al máximo pero la mejor manera es que vosotros respondáis y comentéis la dificultad etc.

Salu2...

Hola ShadowDark, estoy intentando seguir el tutorial que me has recomendado, pero tengo algunos problemas.  Cuando descargo el rg packer desde el enlace del tutorial no consigo descomprimirlo (parece que el archivo está corrupto) pero me lo he bajado desde su web. El problema principal que tengo es que para descomprimir el archivo empaquetado 1 me pide una clave y si arrastro este archivo (Empaquetado 1.rar (o zip) me dice Formato PE inválido!, por lo que no puedo seguir, ya que el tutorial dice que arrastre el archivo empaquetado 1.exe

¿Alguna sugerencia?

Gracias.

Edito: Me he descargado el tute desde el hilo de karmany "  Cómo desempacar un UPX para Newbies" y está totalmente corrupto, no puedo ni descomprimirlo ni con el winrar ni con el 7zip.

Hola Dr. Catz..

Desde el enlace que puse yo en el post "Cómo desempacar un UPX para Newbies", lo acabo de probar de nuevo y no está corrupto. Está perfectamente. Sólo en un archivo te pide una pass pero también está bien indicada. Tal vez tengas más tu descompresor. Aquí tienes uno bueno gratuito por si acaso:

Por otro lado, la página web del RDG Packer Detector, es ésta:



La clave para descomprimir el "empaquetado1.rar" es:
www.indetectables.net

Vale ya he visto tu fallo...
Pero es que no puedes poner el archivo .rar o .zip.

Ése no es el ejecutable.
Tienes que arrastrar el ejecutable solamente: .exe

Descomprímelo todo, y dejalo en una carpeta, por partes, en una los 2 tutes y en otra el .exe, y a partir de ahí sigue el tute.

Salu2..

Ok a los dos, ya puedo seguir con el tute....yujuuuuu!!!!

Por cierto, algún tute para lidiar con armadillo v4.42??

P.D. ya os contaré si como me va con el tute!!!!
Muchas gracias (la verdad es que me encanta la ingeniería inversa ;D ;D ;D)

para enfrentarte a un armadillo tienes que ser un hombre xD y hacer muchos empaquetados todavía.

Salu2..

Ufffff con el armadillo..que si el padre, que si el hijo que si creo un hilo nuevo, que si...YO QUE SEEEEEEEEEEEEEEEEE!!!!

En fin que todavía no soy un hombre ;D ;D y sigo con el tute de Ricardo, jejeje

mira, no te pongas con Armadillo por el momento no merece la pena, ves haciendo packers de a poco y entendiendolos bien porque si no no sabras mas que hacer un proceso determinado, ¿a que me refiero con proceso determinado?, simplemente lo típico:

F2, ahora F9, luego ves aqui y pon F7, ahora bpm en EAX, luego F9, ahora follow in dump en esp.

eso para mi, y repito, bajo mi punto de visa, está MAL, ¿porque? es sencillo, si sabes desempaquetar un UPX porque sabes hacer el proceso, muy bien, sabes desempaquetar un UPX, pero si no comprendes porque se hace así y otras maneras de hacerlo nunca desempaquetarás nada del estilo del upx o un poco más complicado, las cosas hay que entenderlas, saber porque ocurren, y si te pones ahora con armadillo es como pasar de ser un albañil que hace la casita de su perrito a hacer un rascacielos.

Salu2..

Ok ShadowDark, seguiré tu consejo ya que lo que realmente quiero es saber lo que hago, y tienes razón, seguir un tute que no entiendes  :huh: únicamente sirve para crackear el programa de ese tute. :rolleyes:

En fin, seguiré paso a paso y estudiando como un bestia ;D

Salduos a todos!!
Haber si alguien me puede ayudar porque llevo varios dias con esto y me tiene desquiciado. No encuentro una explicacion razonable para mi, claro, de lo que pasa.
Estoy trabajando con el STUB de Tejon y quiero hacer el método xor. Los pasos que he seguido son:
1º. olly y miro el entrypoint
2º. topo.
3º. cuando abro olly me dice : "module 'stub' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifyint. Please keep it in mind wen setting breakpoints!!"
4º. sigo con el proceso hasta el final.

Me queda indetectable a KAV pero cuando cifro el server y lo ejecuto me casca como... pero vamos.... se que el error está en el paso 2º. He mirado que el stub está comprimido pero no precisamente con con UPX. Estoy mareado de tanto leer y no consigo salir de aqui. En un video que vi por ahí, vi como hacían lo mismo que yo pero no daba error en el 2º paso. ¿Cómo puedo salir de ahí?

Shaddy y Karmany, ayudadme por favor. Bueno, y el que quiera..  :laugh:

Hola, te aconsejo que hagas un hilo diferente a este, este se llama "Problema con Ollydbg"

¿Y antes de encriptarlo te anda?

slds

Gracias por responderme.

Funciona perfectamente. El caso es que KAV ya lo detecta y quería hacerle al stub el metodo xor para poder seguir trabajando sobre los nuevos servers creados, pero me cascan. Se que el problema está en olly porque no me reconoce el entrypoint al tocarlo con topo. Por eso que lo escribí aquí. Crees que debería hacer un nuevo tema??
He leido bastante por toda la red y lo único que saco en claro es que el stub está comprimido, pero no en upx.
Por favor, ayudenme.

Saludos pacientes!!