Foro de elhacker.net

Hola a todos.

Estoy investigando como meterle mano a un programita, llevo mucho tiempo detrás de él y no hay manera. Tengo una versión nueva y voy a empezar de cero. El caso es que le paso el rdg packer detector y me dice que no hay nada... bien empezamos..¿me podéis decir cómo identificar el packer sin analizadores en general? algo con olly.

En el memory map de olly me sale en owner nombres tipo imm32 o usp10 o crypbas.

¿ideas?

Muchas Gracias

Hola, podrías comenzar por aquí:

http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo_aprende_ingenieria_inversa_desde_cero-t345798.0.html

Saludos

Gracias, no obstante lo que solicito, a ser posible, es algo mas concreto, no digo que sean instrucciones concretas, pero algo como un tutorial de un crackme o instrucciones mas específicas aunque sea para otro software.

Si pregunto aquí es porque no he encontrado nada buscando. He mirado  varios analizadores de packers y formas de hacerlo con ida pero nada de nada. Tampoco pido que me digan como se hace el unpack, simplemente saber cual es para poder empezar.

Gracias

Hola,

Hay varias alternativas como PEiD, pero una que me gusta mucho es ExeInfo PE:
http://www.exeinfo.xwp.pl

Para reconocer un packer a mano como quieres habría que tener la experiencia y analizarlo internamente, sin experiencia dudo que haya algo que te permita reconocerlo.

Saludos.

Hola. Muchas gracias. Ya imaginaba que detectarlo "a mano" sería complejo.

(http://redesoft.dyndns.org/foto.jpg)

Esto es lo que me sacan como resultado los dos programas comentados. XD no hay manera. He borrado el nombre de la sección EP por no incumplir las normas del foro.

En fin, será algún packer nuevo o algo.

@.:UND3R:. Evita postear tales respuestas que no ayudan absolutamente en nada en el tema, ya son 3 respuestas iguales en 1 dia.
El usuario desde un principio uso un detector de empaquetador.

Respecto al tema, no hay manera absoluta de detectar todos los packers, lo que se podria hacer es realizar un algoritmo en busca de patrones especificos usados por el empaquetador, esos podrian ser por ejemplo estructura de la imagen, directorios disponibles, nombres de las secciones y bien hacer un scaneo en busca de patrones/bytes especificos en la imagen que son usados en todos los archivos empaquetados por tal empaquetador. También se podria usar un analizador de opcodes junto con un emulador.

Imagino que así es como funcionan los analizadores que hay por la red. Si es un packer nuevo supongo que hasta que no los incluyan en la base de datos correspondiente no habrá forma de saberlo. La versión anterior del programa usaba un tal svkp, me quedé en la reconstrucción de la iat.

En fin, si alguien por curiosidad quiere echarle un vistazo que me lo diga y se lo paso, no es necesario que luego me diga a mi que packer lleva o que lo publique, no pretendo que me hagan las cosas.

abrelo en ollydgb, pega los primeros codigos (entrypoint)

aun sin mirar nada, debería ser un vc++ o algun .net 

de igual forma checkea con esto
http://pid.gamecopyworld.com/

por otro lado dentro de el exeinfo, hay una parte que refiere aún mas informacion bassandose en otro criterio (donde escribe la palabra PE header), suele ser bueno para guiarse

la primera idea de deteccion que recuerdo viene de tiempos que existen signaturas, pero honestamente, todo es relativo a la arquitectura, puedo clonar algunos bytes del entrypoint y luego restaurar los valores (fake sign)

por ende, muchas veces no va en el tema de en que esta hecho, sino como funciona y que puedes encontrar de especial en eso.

saludos
pd:tambien existen depuradores que ayudarian aun mas, como IDA, pero normalmente es de pago, las "flirt" podria detectar bastantes firmas o librerias que aveces estan relacionadas a que no detecte aquello


saludos Apuromafo

Hola de nuevo.

apuromafo:

Cuando dices que ponga las primeras lineas del entrypoint imagino que te refieres al entrypoint "falso" el de antes de desempaquetado, así que ahí van:


018FC000 >  83C2 04         ADD EDX,4
018FC003    FFF4            PUSH ESP
018FC005    8D6424 FC       LEA ESP,DWORD PTR SS:[ESP-4]
018FC009    890C24          MOV DWORD PTR SS:[ESP],ECX
018FC00C    29C3            SUB EBX,EAX
018FC00E    FFF2            PUSH EDX
018FC010    832C24 04       SUB DWORD PTR SS:[ESP],4
018FC014    83EA 04         SUB EDX,4
018FC017    01F5            ADD EBP,ESI
018FC019    FFF3            PUSH EBX
018FC01B    010424          ADD DWORD PTR SS:[ESP],EAX
018FC01E    01C3            ADD EBX,EAX
018FC020    83C0 4D         ADD EAX,4D
018FC023    FFF0            PUSH EAX
018FC025    832C24 4D       SUB DWORD PTR SS:[ESP],4D
018FC029    83E8 4D         SUB EAX,4D
018FC02C    83C7 77         ADD EDI,77
018FC02F    FFF5            PUSH EBP
018FC031    293424          SUB DWORD PTR SS:[ESP],ESI
018FC034    29F5            SUB EBP,ESI
018FC036    8D6424 FC       LEA ESP,DWORD PTR SS:[ESP-4]
018FC03A    893424          MOV DWORD PTR SS:[ESP],ESI
018FC03D    FFF7            PUSH EDI
018FC03F    83EF 77         SUB EDI,77
018FC042    832C24 77       SUB DWORD PTR SS:[ESP],77
018FC046    314424 1C       XOR DWORD PTR SS:[ESP+1C],EAX
018FC04A    334424 1C       XOR EAX,DWORD PTR SS:[ESP+1C]
018FC04E    314424 1C       XOR DWORD PTR SS:[ESP+1C],EAX
018FC052    314424 0C       XOR DWORD PTR SS:[ESP+C],EAX
018FC056    334424 0C       XOR EAX,DWORD PTR SS:[ESP+C]
018FC05A    314424 0C       XOR DWORD PTR SS:[ESP+C],EAX
018FC05E    E8 12000000     CALL Lololo.018FC075
018FC063    C3              RETN
018FC064    DB2D 00000000   FLD TBYTE PTR DS:[0]
018FC06A    C3              RETN
018FC06B    FFFF            ???                                      ; Unknown command
018FC06D    FFFF            ???                                      ; Unknown command
018FC06F    FFFF            ???                                      ; Unknown command
018FC071    FFFF            ???                                      ; Unknown command
018FC073    3D 408B2C24     CMP EAX,242C8B40
018FC078    8D6424 04       LEA ESP,DWORD PTR SS:[ESP+4]
018FC07C    E8 00000000     CALL Lololo.018FC081
018FC081    8B2C24          MOV EBP,DWORD PTR SS:[ESP]
018FC084    81ED 81000000   SUB EBP,81
018FC08A    8D6424 04       LEA ESP,DWORD PTR SS:[ESP+4]
018FC08E    EB 05           JMP SHORT Lololo.018FC095
018FC090    B8 D7E2F766     MOV EAX,66F7E2D7
018FC095    64:A0 23000000  MOV AL,BYTE PTR FS:[23]
018FC09B    84C0            TEST AL,AL
018FC09D    0F85 A4000000   JNZ Lololo.018FC147


El programa que me has comentado (Protectionid) tampoco dice nada y sobre los datos de la cabecera pe aquí pongo una imagen (que vale mas que mil palabras XD)

(http://redesoft.dyndns.org/proteccion2.jpg)

Muchas gracias y un saludo

Puedes postear una copia del ejecutable para que la pueda analizar?

Me uno a la petición de MadAntrax. ;)
Quizás mas de uno te podamos ayudar.

Un saludo.

por la pura experiencia, tiene apariencia de ser themida o winlicence o de la compañia de http://www.oreans.com/ 

por otro lado,no es un packer facil, pero si existen en la actualidad plugins para ollydbg para lograr ejecutarlo sin lios, además de otras cosas como script de autores connocidos, o bien tutoriales que hablen al respecto


siguiendo con lo que te comentaba de exeinfope. pulsa donde dice "clickme" en offset to PE, ahi confirmaras que posible lenguaje puede ser...

Bueno, animo en el unpack, puedes ejecutar el programa por completo, hacer un dump, y hacer un scan con rdg, posiblemente encontraras otros detalles mejores para encontrar, luego hacer algun inline (con programas adicionales) que requieren mas experiencia, ejemplo  hay un patcher llamado DUP (diablo ultimate patcher), que puedes modificar algun byte en linea..

bueno, por algo se comienza, un saludo

Ya suponía que no sería un packer fácil.

A ver si mañana tengo un rato y subo alguno de los ejecutables, el que menos ocupe. Aunque se salga de mis posibilidades para poder unpackearlo a ver si por lo menos alguno de vosotros me quita la curiosidad de saber cual es.

No obstante haré también lo que dice apuromafo a ver que sale y ya os cuento.

Gracias a todos.

Sube el ejecutable comprimido y miramos cual es.
Si se trata de Themida no es fácil como bien dicen pero existen tutoriales y scripts para Olly que podrían ser de mucha ayuda.
Animo y suerte.

Un saludo.

Aquí lo dejo.

No creo que se pueda ejecutar porque supongo que le faltarán dll pero por lo menos podéis ver como va el tema. EL instalador ocupa demasiado espacio y adicionalmente creo que no sería muy legal... (creo que pasar el ejecutable no es ilegal porque no se va a usar como tal). No obstante si los moderadores lo consideran elimino inmediatamente el link.


edito: Soy más tonto que una nuez, se me olvidaba, el rar tiene pass: foroelhacker
Gracias

http://bitshare.com/?f=00d6b01z (http://bitshare.com/?f=00d6b01z)

Ya han pasado unos días ¿alguien ha visto algo? en fin, lo mismo es algo bastante nuevo y difícil de detectar, tampoco pasa nada, era simple curiosidad.

Un saludo a todos ;)

Tiene toda la pinta de ser un SVKP Protector  :D