Foro de elhacker.net

Hay un programa en .Net que es un navegador he estado revisandolo con PEiD y no muestra nada, Reflector dice que no es .Net, he estado revisando con OLLYDBG y no muestra ninguna informacion relacionada con los textos del programa me gustaria saber como desempacar ese exe para poder revisarlo si me puede ayudar el .exe lo pueden descargar de esta url: http://innovaciondigital.com.co.s70427.gridserver.com/Navegador.rar

Les agradeceria que me dieran una idea de que utilizar en este caso.

Hasta donde yo se no se puede ver nada de los programas .NET con programas como OllyDBG y ResHack ya que me parece que los .NET no estan en codigo de maquina sino que estan en un lenguaje que lee el procesador del .NET (el que ejecuta los programas cuando tienes el .NET Framework instalado).
Aclaro que no estoy muy seguro, si bien programe unos buenos años en VB.NET.
Saludos

Efectivamente OllyDbg no es el programa correcto para poder depurar o debuggear un programa en .NET, estos contienen instrucciones MIL que son generadas cuando se compila el programa en .NET MIL significa: Microsoft Intermediate Lenguaje, estas instrucciones son compiladas en lenguaje de menor nivel solo cuando son llamadas. Para determinar String llamativas se puede utilizar Net reflector o Simple Assamble ambos muy similares (el segundo se inspiró en el primero). una ves encontrada String sospechosas se puede comenzar a debuggear con MDbg (Microsoft debugger) (este debugger se utiliza en consola por lo que si nos sentimos familiarizados con OllyDbg contamos con un ID llamado Calimero.

Ya encontrada la instrucción IL a modificar (si es que no interpretamos la función de un serial correcto) podemos invertir la instrucción con reflexil (plugins para Net reflector que permite la modificación de código IL)

Debemos saber que la estructura de los .NET son distina a un PE 32 normal ya que sus cabeceras son completamentes distintas ya que cuenta con una sección de la cabecera CLR (comon lenguaje runtime), "corazón de un .NET) dentro encontramos las instrucciones IL y metadata que son las instrucciones que debemos inspeccionar y analizar con cuidado.

Saludos

Gracias por sus respuestas el detalle con este programa es que el Net Reflector no lo detecta como .net sale con el icono en rojo y no muestra nada. lo que me gustaria sabes es por que el Reflector no lo reconoce ya que he mirado otros hecho en .Net y los abre sin problema.

Asi me muestra el Net Reflector

(http://img208.imageshack.us/img208/1403/navegador.png)

Y que te dice ProtectionID? Si esta empacado/protegido Reflector no lo vera jamas...  :P

ProtectionID me dice que no esta protegido:

(http://img862.imageshack.us/img862/9856/proteccionidnaveg.png)

ProtectionID me dice que no esta protegido:

(http://img862.imageshack.us/img862/9856/proteccionidnaveg.png)

Y entonces: porque dices que es .NET?

Si notas en la Imagen dice Visula Studio 2008, eso es .Net

MCKSys Argentina te lo dice porque la imagen te indica Visual C++ 9.0, ya que Visual Studio comprende varios lenguajes de programación como Visual C++, Visual C#, Visual J#, ASP.NET y Visual Basic .NET.

Yo también creo que no está hecho en .NET

Quiero una sugerencia para este caso ya que he probado varias cosas y no he tenido exito. digo que es .net por que veo que utiliza librerias .net

(http://img85.imageshack.us/img85/2056/netz.png)

Creo que está con NET Reactor (Native exe file)

".NET Reactor is able to generate a native x86 EXE file stub for your application. This way it is not possible to directly open your protected application in a decompiler. The decompiler recognizes your protected application as a native EXE file."

Crea un stub en Visual C++ que hace ejecutar el exe en NET. El programa te deja abrirlo con OllyDBG.
http://www.eziriz.com/dotnet_reactor.htm (http://www.eziriz.com/dotnet_reactor.htm)

Una curiosidad...

De dónde has encontrado el link a ese programa?? qué hace ese programa?? dónde esta su web?

Es que no hay ninguna referencia. Y ese dominio??

Ese es un hosting que compre de mi empresa, no tengo web, el programa es un navegador que me pasaron

algunas strings que se pueden ver:

(http://img259.imageshack.us/img259/416/sinttulosqf.png)

Hola gracias por tu respuesta, con que programa sacaste esos string?

Provoque un error en el programa y me mostro lo siguiente.
(http://img23.imageshack.us/img23/6466/exepcion.png)

dice visual basic

con un programa muy bueno llamado FileAlyzer, analiza cualquier archivo.

FileAlyzer (http://www.safer-networking.org/en/filealyzer/index.html)

tambien dice Microsoft .Net Framework... esto esta enredado...

Dulces Lunas...

Si eso programita esta mas enrredado no he podio saltarme el registro. tienes alguna idea para yo proceder

Yo no tengo tiempo para analizarlo, por eso no he respondido antes, pero ese programa está protegido con bastante certeza con Net Reactor como ya te dije.

Net Reactor, una de las opciones que tiene, es que crea un stub hecho directamente en visual C++ que te hace ejecutar al programa en .NET. Es decir, el NET está dentro y tienes que extraerlo.

Con esto quiero decir, que primeramente el programa lo tienes que analizar con OllyDBG y cuando pase la ejecución al NEt tienes que extraer de ahí el NET y después analizarlo.

Claro que te sale ese error, porque está programado en visual NET pero protegido con una packer que te crea una aplicación en win32 nativo.

Pues prueba poniendo reactor aquí:

http://ricardo.crver.net/WEB/buscador.php

Te saldrán algunos tuts que tal vez te ayuden :)


Pd: Por qué las calabazas si estamos en febrero o.O?

Nox.

He seguido los manuales y todo pero ese exe esta bien complicadito no parece que fue con Net Reactor no lo registra

Bueno he logrado activar el navegador revisando con OLLYDBG en el momento en que me pedia el serial de activacion busque el memoria el serial me decia que enviara para q me dieran el codigo de activacion, ese codigo lo busque en memoria y un poco mas abajo estaba el de activacion el cual copie y ingrese y quedo activo por fin el programa.

Viejo pudes darme otras sugerencia ya saque el .exe que estaba oculto pero no funciona lo que creo q q no estoy muy seguro de que ese archivo lo pasaran por Net Reactor.

Muchas gracias por la sugerencia ya logre extraer el codigo que necesitaba

Tutorial?

+1, a mi también me gustaría ver como lo has logrado.


Saludos

Como se han "mal-acostumbrado" en CLS... eh?  ;D

Solo un poquito, jajaja