Foro de elhacker.net

he subido la ddl a megaupload para que mireis aver. De otros cracks me fio pero de este en concreto no. Es el crack del dirt 3. La alerta me la ha dado el malwarebytes, no le hubiera hecho caso si no fuera porque en ese momento no estaba ejecutando el dirt 3, de hecho hacia 2 meses que no lo tocaba y ahi me salio la alerta de proceso malicioso intentando ejecutarse. El malwarebytes dice que es un trojan downloader

http://www.megaupload.com/?d=UNWCGA78

no se si tendra virus o no , pero si lo empacaron con un protector que suele ser detectado es

Scanning -> C:\Documents and Settings\usuario\Mis documentos\Descargas\SKIDROW.dll
File Type : 32-Bit Dll (Subsystem : Win GUI / 2), Size : 195072 (02FA00h) Byte(s)
[File Heuristics] -> Flag : 00000000000001001101001100000011 (0x0004D303)
[!] VM Protect v1.60 - v2.05 detected !

es que no sabia si preguntarlo aqui o en la sección de seguridad

Como analisas manualmente una dll? un ejecutable si que se porque lo ejecuto y veo si crea conexiones, si se copia a otro lado, si crea entradas en el registro, etc, pero una dll?

nose pero ami el ollydbg no me la abre

No lo hizo manualmente. Hay muchas herramientas de analisis de ejecutables (EXEs, DLLs, etc, etc)

Ejemplos: http://woodmann.com/collaborative/tools/index.php/Category:Exe_Analyzers

Saludos!

don malwarebytes me dice que es un trojan downloader y tiene sentido porque la aplicacion me pide acceso a internet (que siempre deniego)

Pero digo, q no hay forma de hacerlo manualmente?

no lo se, veremos que dicen .:UND3R:. o alguno de estos que de verdad controlan de ingenieria inversa. Pero no me desvies mucho el tema eh edu que lo del crack me corre prisa jajajaja  :P

Claro, con Olly.


Con eso quieres decir que lo que hemos puesto Apuromafo y yo no cuenta???

Creo que te has equivocado...  :P

Según lo que puso Apuromafo, la DLL esta empacada, por eso Olly tiene problemas.

Pero bueno... debe ser que no sabemos de qué estamos hablando...  ;D

Saludos!

no no,  me has entendido mal (porque yo no me e expresado bien). Con eso me referia a tener una opinion de todos, yo he leido lo que me has dicho y no dudo de tu criterio que sabes mas que yo.Me referia a tener distintos puntos de vista. Y en el concepto "alguno de estos" vais incluidos los que me habeis contestado. Es que estaba esperando aver si me podiais decir algo mas :P
de verdad gracias por contestarme  :)

Escucha lo que nos enseña MCKSys Argentina y Apuromafo, ellos llevan años de experiencia crackeando

Como comentan, lo más probable es que esta dll esté empaquetada, pero por qué se conecta a internet?, lo más probable que sea es que esta dll se encarga de validar una aplicación por lo puede estar modificado el salto de comprobación una vez comprobado el serial por medio de internet, para saber si es así debes ejecutar la dll original par ver si este también se conecta a internet, pero si el programa original no tiene esa dll o esta no se conecta a internet, es algo sospechoso, de todas maneras te recomiendo lo siguiente utilizar regshot 1.8.2,este genera una copia del registro y luego ejecuta la dll crackeada y pasa nuevamente regshot 1.8.2, para ver que registro agregó la dll, aunque deberías hacerlo en otra máquina ya que si lo ejecutaste en el pc y ya se creo el registro regshot 1.8.2 no funcionará de mucho.

Saludos

jeje definamos alguna cosa mayor, si el crack es de otro, lo usarias?

algo es malware o no, yo he depurado algunos virus y troyanos y son dignos de recordar, algunos no tanto. son pocos los programas que hacen ganchos y emulacion de dll.

yo hasta podria hacerte un tutorial de malwarebytes xD y sus blacklisted serial , es un programa hecho en visual basic hasta la ultima vez que lo checkee..tenia sus mensajes internos que decia que porfavor pensaramos en su familia o algo asi, y se basaba en una comparacion con su ID correcto, luego gracias por registrar.

pero al tema
sip,  un programa puede estar protegido, empacado, ofuscado y ser detectado como troyano, lo mismo pasa con troyan hunter, con paretologic , con cualquier aplicacion que detecte si esta comprimida o ofuscada etc..kaspersky, panda virustotal.
lo mas probable es que reconozca que es lo que tiene...

si quieres analizar alguna aplicacion por ingenieria inversa, vamos , charlemos todos podemos aprender..

ahora bien, si dudas que es un troyano o funciona mal, lo mejor es no usarlo, yo normalmente suelo yo crackear mis propias aplicaciones y determinar si ese es el mejor camino, aveces hasta he tenido la solucion ahi mismo y no la leo, hasta cuando ya lo resolvi a mi forma...creo que no hay mejor historia como cuando se cuenta por uno mismo
si el problema es de un servidor que uno usa, pues pedirle que proteja con otra cosa seria extraño, no es el software de uno.


Under esta recien comenzando, y MCKSys tambien tiene gran trayectoria, no dudo de las palabras dichas por el.

consejo:
1) la aplicacion esta protegida con un packer denso/protector que no es para newbies es mas hasta depurarlo requiere analisis de maquinas virtuales, temas que no alcanzan ni en todos los tutoriales que haya escrito.

2) si crees que es peligrosa, no la uses, usa siempre lo original y si es tu interes crackear algo, pues animate a aprender mas :) y hacerlo por tu cuenta


3)  my olly no muestra ningun problema ---
 

os lo juro, os quiero tios  ;-) jajajaj
el crack no es mio se llama skydrow

ahora pensemos por el otro lado, que pasa si realmente quieres desempacar este vmprotect

leer del protector:


esta tool permite analizar VM
http://forum.tuts4you.com/topic/25077-vmsweeper/

este seria un script de ayuda para los que piensan tankear un VMprotect

http://forum.tuts4you.com/topic/24390-vmprotect-api-turbo-tracer-12/

este seria un olly con script pensado para el script

http://forum.tuts4you.com/topic/24452-ollydbg-110-special-for-guru-lcf-ats-vmprotect-api-turbo-tracer-11-script/


pero todos sabemos que el ollydbg se configura segun uno estime necesario



saludos Apuromafo
pd: sin ejecutar no se si tiene virus, pero viendolo y todo si te aseguro que esta empacado..mas que eso deberias decir o enseñar el comportamiento de algo..  como pregunta creo que fue mal redactado, pero nimporta , nadie nace sabiendo.

muchas gracias. Aver si empiezo con la ingenieria inversa un dia de estos que me descargue los tutoriales pero todavia no he tenido tiempo de ponerme a ello e instalado el olly y poco mas...

Bienvenido seas en este mundo  :D

muchas gracias  :) al menos se que si tengo dudas aqui tendre gente que me ayude