|
Mostrar Mensajes
|
Páginas: 1 [2] 3 4 5 6 7
|
11
|
Programación / Ingeniería Inversa / Re: ¿Qué tipo de protección es esta?
|
en: 2 Diciembre 2018, 16:44 pm
|
Deberías tener mas respeto ya que el otro miembro solo intenta contribuir.
No tiene sentido, yo explico algo en el post y contradice lo dicho.
El temita es que es una de las últimas versiones de themida, lo cual este script no anda, es como que se queda atorado en cierta parte del código, y de ahí no avanza. (No encuentra el IAT) En versiones anteriores probe este script y anduvo 10/10 el tema es que actualizo y hay muchas nuevas cosas en el programa. (sorry por el doble post, pensé que los mensajes se juntaban solos)
|
|
|
12
|
Programación / Ingeniería Inversa / Re: ¿Qué tipo de protección es esta?
|
en: 21 Noviembre 2018, 23:30 pm
|
Usted no está seguro de ser Themida Deduce sólo, por tener versiones antiguas. Detectar punto de parada está relacionado a tiempo. Por fin, no estoy contando una broma saludos
Si no vas a aportar nada no comentes, si yo digo que tiene themida es porque tiene themida, porque yo ya revise 2394234 cosas.
|
|
|
14
|
Programación / Ingeniería Inversa / ¿Qué tipo de protección es esta?
|
en: 21 Noviembre 2018, 18:01 pm
|
Hola, estoy descompilando un programa que útiliza Themida, me parece que es de las últimas versiones porque no aparece en ProtectionId para ver el packer, y versiones antiguas de dicho programa si aparece. El caso, cuando veo el retaddress de algunas llamadas de las funciones aparece que se llama desde: pushad jmp injected.BD212F mov al,byte ptr ds:[61B729F2] mov edx,4B4E2E27 dec ebp loopne injected.BD2104 call far 5850:51B1B3F5 pop ecx jp injected.BD213F jo injected.BD213F jmp injected.BD2158 sti push esp loopne injected.BD216F and dword ptr ds:[ebx+524827BE],ebx xor ecx,dword ptr ds:[ebx] sbb dword ptr ds:[eax+71B7DF53],eax mov eax,559C61E4 mov dword ptr ss:[esp],7974FAD5 dec dword ptr ss:[esp] add dword ptr ss:[esp],47F69739 add dword ptr ss:[esp],6CFB1100 not dword ptr ss:[esp] push ebx mov ebx,1 add dword ptr ss:[esp+4],ebx pop ebx dec dword ptr ss:[esp] add dword ptr ss:[esp],2E66A368 push esi mov dword ptr ss:[esp],7ADBFEE5 and dword ptr ss:[esp],3CEF2791 add dword ptr ss:[esp],3E3059E5 push edi mov edi,FFD3A3B7 add dword ptr ss:[esp+4],edi pop edi shl dword ptr ss:[esp],1 add dword ptr ss:[esp],12DE9FCD push 711D8CC5 mov dword ptr ss:[esp],eax mov dword ptr ss:[esp],737FF923 sub dword ptr ss:[esp],crypt32.757FFA43 shr dword ptr ss:[esp],1 push edi mov edi,D41E1E90 add dword ptr ss:[esp+4],edi pop edi mov dword ptr ss:[esp],eax sub esp,4 mov dword ptr ss:[esp],edi mov dword ptr ss:[esp],edx mov dword ptr ss:[esp],eax mov dword ptr ss:[esp],edi mov dword ptr ss:[esp],ebx push dword ptr ss:[esp+10] push dword ptr ss:[esp] pop eax push eax mov eax,esp add eax,4 push edx mov edx,4 add eax,edx pop edx xchg dword ptr ss:[esp],eax pop esp push dword ptr ss:[esp+8] mov ebx,dword ptr ss:[esp] push edi push 7F39BAFC mov dword ptr ss:[esp],esp add dword ptr ss:[esp],4 pop edi add edi,4 add edi,4 xchg dword ptr ss:[esp],edi pop esp mov dword ptr ss:[esp+8],eax mov dword ptr ss:[esp+10],ebx push dword ptr ss:[esp] pop ebx push edi mov edi,esp push eax mov eax,4 add edi,eax pop eax add edi,4 xchg dword ptr ss:[esp],edi mov esp,dword ptr ss:[esp] push dword ptr ss:[esp] pop eax push edi mov edi,esp add edi,4 add edi,4 xor edi,dword ptr ss:[esp] xor dword ptr ss:[esp],edi xor edi,dword ptr ss:[esp] mov esp,dword ptr ss:[esp] jmp injected.68F549 call eax <- ACA llama Llama desde EAX, yo puedo colocar breakpoints, pero al colocar breakpoint en ese lugar no ocurre nada, y si lo nopeo crashea al llamarlo. Alguna idea?, esta funcion se repite 6 o 7 veces
|
|
|
15
|
Programación / Ingeniería Inversa / Re: ¿Que packer/protector es este?
|
en: 11 Abril 2018, 03:33 am
|
Esos A.C de ahora, son pabadas, simplemente drivers con x chequeos ya me los se, protegen varias cosas que son obvias. El Cheating Death queria descompilarlo para tenerlo ahi, debido a X razónes.
si fuera por vista de secciones mas detector, claramente eso es un execryptor, por otro lado, desde el depurador y la experiencia es donde se pueden desempacar muchos programas, execryptor no es para nada facil, asi que igual tendrias que usar tarde o temprano scripts de otros, (ollydbg+script)
el tema es que es un packer muy poco estudiado, siempre se usa sobre programas nativos, asi que sirve ollydbg, IDA, x64dbg
saludos Apuromafo
pd: a mi me llevo meses desempacar un execryptor, hice tutoriales mostrando al respecto, hay un unpacker de rsi, pero tampoco soluciona todo
jajajaja, ya te veo meses JAJAJA, que programa habra sido. Igual no sé después veo el tutorial, en ida pro no se ve nada excepto el entrypoint con algunas cosas mas. MOD: No hacer doble post. Usa el botón modificar.
|
|
|
16
|
Programación / Ingeniería Inversa / ¿Que packer/protector es este?
|
en: 7 Abril 2018, 21:32 pm
|
Hola, queria preguntar si alguien conoce cual es el protector o packer de este archivo: ¿Alguna idea para desempaquetar esto o que packer contiene realmente? Ningun tipo de script me anduvo de EXECryptor. -> Es una DLL por las dudas (El tema es que tiene diferentes sections) (Cosa que el comun no lo tiene) Cheating Death v4.33.4 - (cs 1.6) RDG Packer Detector v0.7.6 -> <<Multiple Protections>> ====================== EXECryptor Deteccion Heuristica EXECryptor (Compress Code & Data) EXECryptor v2.1.15 EXECryptor v2.2.x - v2.4.x
PROTECTiON iD -> Scanning -> E:\aaaCheating-Death\Cheating-Death\4.33.4\cd.dll File Compression State : 0 (Not Compressed) File Type : 32-Bit Dll (Subsystem : Win GUI / 2), Size : 425984 (068000h) Byte(s) | Machine: 0x14C (I386) Compilation TimeStamp : 0x43988949 -> Thu 08th Dec 2005 19:28:09 (GMT) [TimeStamp] 0x43988949 -> Thu 08th Dec 2005 19:28:09 (GMT) | PE Header | - | Offset: 0x00000068 | VA: 0x10000068 | - [!] Executable uses TLS callbacks (1 total... 0 invalid addresses) [LoadConfig] CodeIntegrity -> Flags 0xA3F0 | Catalog 0x46 (70) | Catalog Offset 0x2000001 | Reserved 0x46A4A0 [LoadConfig] GuardAddressTakenIatEntryTable 0x8000011 | Count 0x46A558 (4629848) [LoadConfig] GuardLongJumpTargetTable 0x8000001 | Count 0x46A5F8 (4630008) [LoadConfig] HybridMetadataPointer 0x8000011 | DynamicValueRelocTable 0x46A66C [LoadConfig] FailFastIndirectProc 0x8000011 | FailFastPointer 0x46C360 [LoadConfig] UnknownZero1 0x8000011 [File Heuristics] -> Flag #1 : 00000000000000001100001000100011 (0x0000C223) [Entrypoint Section Entropy] : 7.99 (section #5) "8rca826h" | Size : 0x66B28 (420648) byte(s) [DllCharacteristics] -> Flag : (0x0000) -> NONE [SectionCount] 7 (0x7) | ImageSize 0x11F000 (1175552) byte(s) [ModuleReport] [IAT] Modules -> kernel32.dll | user32.dll [!] EXE Cryptor v2.2.0 - v2.2.6 detected ! - Scan Took : 0.219 Second(s) [0000000DBh (219) tick(s)] [246 of 580 scan(s) done]
|
|
|
17
|
Programación / Ingeniería Inversa / Re: ¿Cómo puedo crear un FAKE OEP?
|
en: 3 Febrero 2018, 17:30 pm
|
Si hago que no llege al entrypoint original, en si no vera desde donde comienza, porque aparte destruyo todos los jmp push ebp calls etc, y los reconstruyo en el oep
entonces si pongo un entrypoint que diga return 1 o cualquier cosa que no llame seria gg.
themida o asprotect hacen lo que yo quiero xD, el upx simplemente lo vi y lo que hace es obtener todos los importes en el principio y luego llamar al oep. (o algo asi, lo vi por encima en el depurador xd)
EDIT: Igual ya descubri como proteger y hacer que todo el programa use la api sin usar imports xD, etc etc es hermoso proteger los programas (?.
|
|
|
19
|
Programación / Ingeniería Inversa / ¿Cómo puedo crear un FAKE OEP?
|
en: 29 Enero 2018, 20:06 pm
|
La pregunta es como puedo crear un fake oep, en si puedo redireccionar el oep a varias partes pero es en vano, también puedo crear un oep y ponerlo con un call que se repare y evitar ida etc.
¿Hay algun tutorial que enseñe a dividir el PE Header, para empaquetar etc?.
El UPX esta dividido en 8.000 partes y no da para revisarlo.
|
|
|
|
|
|
|