Foro de elhacker.net

Programación => Ingeniería Inversa => Mensaje iniciado por: josue9243 en 21 Noviembre 2018, 18:01 pm


Título: ¿Qué tipo de protección es esta?
Publicado por: josue9243 en 21 Noviembre 2018, 18:01 pm
Hola, estoy descompilando un programa que útiliza Themida, me parece que es de las últimas versiones porque no aparece en ProtectionId para ver el packer, y versiones antiguas de dicho programa si aparece.

El caso, cuando veo el retaddress de algunas llamadas de las funciones aparece que se llama desde:

Código:
pushad 
jmp injected.BD212F
mov al,byte ptr ds:[61B729F2]
mov edx,4B4E2E27
dec ebp
loopne injected.BD2104
call far 5850:51B1B3F5
pop ecx
jp injected.BD213F
jo injected.BD213F
jmp injected.BD2158
sti 
push esp
loopne injected.BD216F
and dword ptr ds:[ebx+524827BE],ebx
xor ecx,dword ptr ds:[ebx]
sbb dword ptr ds:[eax+71B7DF53],eax
mov eax,559C61E4
mov dword ptr ss:[esp],7974FAD5
dec dword ptr ss:[esp]
add dword ptr ss:[esp],47F69739
add dword ptr ss:[esp],6CFB1100
not dword ptr ss:[esp]
push ebx
mov ebx,1
add dword ptr ss:[esp+4],ebx
pop ebx
dec dword ptr ss:[esp]
add dword ptr ss:[esp],2E66A368
push esi
mov dword ptr ss:[esp],7ADBFEE5
and dword ptr ss:[esp],3CEF2791
add dword ptr ss:[esp],3E3059E5
push edi
mov edi,FFD3A3B7
add dword ptr ss:[esp+4],edi
pop edi
shl dword ptr ss:[esp],1
add dword ptr ss:[esp],12DE9FCD
push 711D8CC5
mov dword ptr ss:[esp],eax
mov dword ptr ss:[esp],737FF923
sub dword ptr ss:[esp],crypt32.757FFA43
shr dword ptr ss:[esp],1
push edi
mov edi,D41E1E90
add dword ptr ss:[esp+4],edi
pop edi
mov dword ptr ss:[esp],eax
sub esp,4
mov dword ptr ss:[esp],edi
mov dword ptr ss:[esp],edx
mov dword ptr ss:[esp],eax
mov dword ptr ss:[esp],edi
mov dword ptr ss:[esp],ebx
push dword ptr ss:[esp+10]
push dword ptr ss:[esp]
pop eax
push eax
mov eax,esp
add eax,4
push edx
mov edx,4
add eax,edx
pop edx
xchg dword ptr ss:[esp],eax
pop esp
push dword ptr ss:[esp+8]
mov ebx,dword ptr ss:[esp]
push edi
push 7F39BAFC
mov dword ptr ss:[esp],esp
add dword ptr ss:[esp],4
pop edi
add edi,4
add edi,4
xchg dword ptr ss:[esp],edi
pop esp
mov dword ptr ss:[esp+8],eax
mov dword ptr ss:[esp+10],ebx
push dword ptr ss:[esp]
pop ebx
push edi
mov edi,esp
push eax
mov eax,4
add edi,eax
pop eax
add edi,4
xchg dword ptr ss:[esp],edi
mov esp,dword ptr ss:[esp]
push dword ptr ss:[esp]
pop eax
push edi
mov edi,esp
add edi,4
add edi,4
xor edi,dword ptr ss:[esp]
xor dword ptr ss:[esp],edi
xor edi,dword ptr ss:[esp]
mov esp,dword ptr ss:[esp]
jmp injected.68F549
call eax <- ACA llama

Llama desde EAX, yo puedo colocar breakpoints, pero al colocar breakpoint en ese lugar no ocurre nada, y si lo nopeo crashea al llamarlo.

Alguna idea?, esta funcion se repite 6 o 7 veces

Título: Re: ¿Qué tipo de protección es esta?
Publicado por: Geovane en 21 Noviembre 2018, 18:24 pm
¡Hola

Compruebe las API, algún anti-debugger existe, como GetTickCount.

utilice plugins para defenderse.

saludoss

Título: Re: ¿Qué tipo de protección es esta?
Publicado por: josue9243 en 21 Noviembre 2018, 18:45 pm
JAJAJAJAJAJAJAJ.

Como si fuera a depurar sin plugins y mas con themida  :xD

Tengo Phanthom y strongOD  :rolleyes:


Título: Re: ¿Qué tipo de protección es esta?
Publicado por: Geovane en 21 Noviembre 2018, 19:00 pm
Cita de: josue9243 en 21 Noviembre 2018, 18:45 pm
JAJAJAJAJAJAJAJ.

Como si fuera a depurar sin plugins y mas con themida  :xD

Tengo Phanthom y strongOD  :rolleyes:



Usted no está seguro de ser Themida
Deduce sólo, por tener versiones antiguas.
Detectar punto de parada está relacionado a tiempo.
Por fin, no estoy contando una broma
saludos

Título: Re: ¿Qué tipo de protección es esta?
Publicado por: josue9243 en 21 Noviembre 2018, 23:30 pm
Cita de: Geovane en 21 Noviembre 2018, 19:00 pm
Usted no está seguro de ser Themida
Deduce sólo, por tener versiones antiguas.
Detectar punto de parada está relacionado a tiempo.
Por fin, no estoy contando una broma
saludos

Si no vas a aportar nada no comentes, si yo digo que tiene themida es porque tiene themida, porque yo ya revise 2394234 cosas.

Título: Re: ¿Qué tipo de protección es esta?
Publicado por: Markks en 24 Noviembre 2018, 23:54 pm
Deberías tener mas respeto ya que el otro miembro solo intenta contribuir.

Título: Re: ¿Qué tipo de protección es esta?
Publicado por: Flamer en 25 Noviembre 2018, 00:31 am
para themida creo que deberías de buscarte un script

dime si te funciona este
https://cloud.mail.ru/public/Apwm/9DLAiwJWa (https://cloud.mail.ru/public/Apwm/9DLAiwJWa)

aquí el tutorial

http://forum.xentax.com/viewtopic.php?f=29&t=12953 (http://forum.xentax.com/viewtopic.php?f=29&t=12953)


saludos

Título: Re: ¿Qué tipo de protección es esta?
Publicado por: josue9243 en 2 Diciembre 2018, 16:44 pm
Cita de: M4x0p en 24 Noviembre 2018, 23:54 pm
Deberías tener mas respeto ya que el otro miembro solo intenta contribuir.

No tiene sentido, yo explico algo en el post y contradice lo dicho.
Cita de: Flamer en 25 Noviembre 2018, 00:31 am
para themida creo que deberías de buscarte un script

dime si te funciona este
https://cloud.mail.ru/public/Apwm/9DLAiwJWa (https://cloud.mail.ru/public/Apwm/9DLAiwJWa)

aquí el tutorial

http://forum.xentax.com/viewtopic.php?f=29&t=12953 (http://forum.xentax.com/viewtopic.php?f=29&t=12953)


saludos

El temita es que es una de las últimas versiones de themida, lo cual este script no anda, es como que se queda atorado en cierta parte del código, y de ahí no avanza.
(No encuentra el IAT)

En versiones anteriores probe este script y anduvo 10/10 el tema es que actualizo y hay muchas nuevas cosas en el programa.

(sorry por el doble post, pensé que los mensajes se juntaban solos)

Título: Re: ¿Qué tipo de protección es esta?
Publicado por: Geovane en 4 Diciembre 2018, 00:28 am
¡Hola
  después de identificar favor le avise.
para nosotros implementar en el banco de suscripciones.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines