| |
 Mostrar Mensajes
|
|
Páginas: 1 [2] 3 4 5 6 7
|
|
11
|
Programación / Ingeniería Inversa / Re: ¿Qué tipo de protección es esta?
|
en: 2 Diciembre 2018, 16:44 pm
|
Deberías tener mas respeto ya que el otro miembro solo intenta contribuir.
No tiene sentido, yo explico algo en el post y contradice lo dicho.
El temita es que es una de las últimas versiones de themida, lo cual este script no anda, es como que se queda atorado en cierta parte del código, y de ahí no avanza. (No encuentra el IAT) En versiones anteriores probe este script y anduvo 10/10 el tema es que actualizo y hay muchas nuevas cosas en el programa. (sorry por el doble post, pensé que los mensajes se juntaban solos) |
|
|
|
|
12
|
Programación / Ingeniería Inversa / Re: ¿Qué tipo de protección es esta?
|
en: 21 Noviembre 2018, 23:30 pm
|
Usted no está seguro de ser Themida
Deduce sólo, por tener versiones antiguas.
Detectar punto de parada está relacionado a tiempo.
Por fin, no estoy contando una broma
saludos
Si no vas a aportar nada no comentes, si yo digo que tiene themida es porque tiene themida, porque yo ya revise 2394234 cosas. |
|
|
|
|
14
|
Programación / Ingeniería Inversa / ¿Qué tipo de protección es esta?
|
en: 21 Noviembre 2018, 18:01 pm
|
Hola, estoy descompilando un programa que útiliza Themida, me parece que es de las últimas versiones porque no aparece en ProtectionId para ver el packer, y versiones antiguas de dicho programa si aparece. El caso, cuando veo el retaddress de algunas llamadas de las funciones aparece que se llama desde: pushad
jmp injected.BD212F
mov al,byte ptr ds:[61B729F2]
mov edx,4B4E2E27
dec ebp
loopne injected.BD2104
call far 5850:51B1B3F5
pop ecx
jp injected.BD213F
jo injected.BD213F
jmp injected.BD2158
sti
push esp
loopne injected.BD216F
and dword ptr ds:[ebx+524827BE],ebx
xor ecx,dword ptr ds:[ebx]
sbb dword ptr ds:[eax+71B7DF53],eax
mov eax,559C61E4
mov dword ptr ss:[esp],7974FAD5
dec dword ptr ss:[esp]
add dword ptr ss:[esp],47F69739
add dword ptr ss:[esp],6CFB1100
not dword ptr ss:[esp]
push ebx
mov ebx,1
add dword ptr ss:[esp+4],ebx
pop ebx
dec dword ptr ss:[esp]
add dword ptr ss:[esp],2E66A368
push esi
mov dword ptr ss:[esp],7ADBFEE5
and dword ptr ss:[esp],3CEF2791
add dword ptr ss:[esp],3E3059E5
push edi
mov edi,FFD3A3B7
add dword ptr ss:[esp+4],edi
pop edi
shl dword ptr ss:[esp],1
add dword ptr ss:[esp],12DE9FCD
push 711D8CC5
mov dword ptr ss:[esp],eax
mov dword ptr ss:[esp],737FF923
sub dword ptr ss:[esp],crypt32.757FFA43
shr dword ptr ss:[esp],1
push edi
mov edi,D41E1E90
add dword ptr ss:[esp+4],edi
pop edi
mov dword ptr ss:[esp],eax
sub esp,4
mov dword ptr ss:[esp],edi
mov dword ptr ss:[esp],edx
mov dword ptr ss:[esp],eax
mov dword ptr ss:[esp],edi
mov dword ptr ss:[esp],ebx
push dword ptr ss:[esp+10]
push dword ptr ss:[esp]
pop eax
push eax
mov eax,esp
add eax,4
push edx
mov edx,4
add eax,edx
pop edx
xchg dword ptr ss:[esp],eax
pop esp
push dword ptr ss:[esp+8]
mov ebx,dword ptr ss:[esp]
push edi
push 7F39BAFC
mov dword ptr ss:[esp],esp
add dword ptr ss:[esp],4
pop edi
add edi,4
add edi,4
xchg dword ptr ss:[esp],edi
pop esp
mov dword ptr ss:[esp+8],eax
mov dword ptr ss:[esp+10],ebx
push dword ptr ss:[esp]
pop ebx
push edi
mov edi,esp
push eax
mov eax,4
add edi,eax
pop eax
add edi,4
xchg dword ptr ss:[esp],edi
mov esp,dword ptr ss:[esp]
push dword ptr ss:[esp]
pop eax
push edi
mov edi,esp
add edi,4
add edi,4
xor edi,dword ptr ss:[esp]
xor dword ptr ss:[esp],edi
xor edi,dword ptr ss:[esp]
mov esp,dword ptr ss:[esp]
jmp injected.68F549
call eax <- ACA llama Llama desde EAX, yo puedo colocar breakpoints, pero al colocar breakpoint en ese lugar no ocurre nada, y si lo nopeo crashea al llamarlo. Alguna idea?, esta funcion se repite 6 o 7 veces |
|
|
|
|
15
|
Programación / Ingeniería Inversa / Re: ¿Que packer/protector es este?
|
en: 11 Abril 2018, 03:33 am
|
Esos A.C de ahora, son pabadas, simplemente drivers con x chequeos ya me los se, protegen varias cosas que son obvias. El Cheating Death queria descompilarlo para tenerlo ahi, debido a X razónes.
si fuera por vista de secciones mas detector, claramente eso es un execryptor, por otro lado, desde el depurador y la experiencia es donde se pueden desempacar muchos programas, execryptor no es para nada facil, asi que igual tendrias que usar tarde o temprano scripts de otros, (ollydbg+script)
el tema es que es un packer muy poco estudiado, siempre se usa sobre programas nativos, asi que sirve ollydbg, IDA, x64dbg
saludos Apuromafo
pd: a mi me llevo meses desempacar un execryptor, hice tutoriales mostrando al respecto, hay un unpacker de rsi, pero tampoco soluciona todo
jajajaja, ya te veo meses JAJAJA, que programa habra sido. Igual no sé después veo el tutorial, en ida pro no se ve nada excepto el entrypoint con algunas cosas mas. MOD: No hacer doble post. Usa el botón modificar. |
|
|
|
|
16
|
Programación / Ingeniería Inversa / ¿Que packer/protector es este?
|
en: 7 Abril 2018, 21:32 pm
|
Hola, queria preguntar si alguien conoce cual es el protector o packer de este archivo: ¿Alguna idea para desempaquetar esto o que packer contiene realmente? Ningun tipo de script me anduvo de EXECryptor. -> Es una DLL por las dudas (El tema es que tiene diferentes sections) (Cosa que el comun no lo tiene)  Cheating Death v4.33.4 - (cs 1.6) RDG Packer Detector v0.7.6 -> <<Multiple Protections>>
======================
EXECryptor Deteccion Heuristica
EXECryptor (Compress Code & Data)
EXECryptor v2.1.15
EXECryptor v2.2.x - v2.4.x
PROTECTiON iD -> Scanning -> E:\aaaCheating-Death\Cheating-Death\4.33.4\cd.dll
File Compression State : 0 (Not Compressed)
File Type : 32-Bit Dll (Subsystem : Win GUI / 2), Size : 425984 (068000h) Byte(s) | Machine: 0x14C (I386)
Compilation TimeStamp : 0x43988949 -> Thu 08th Dec 2005 19:28:09 (GMT)
[TimeStamp] 0x43988949 -> Thu 08th Dec 2005 19:28:09 (GMT) | PE Header | - | Offset: 0x00000068 | VA: 0x10000068 | -
[!] Executable uses TLS callbacks (1 total... 0 invalid addresses)
[LoadConfig] CodeIntegrity -> Flags 0xA3F0 | Catalog 0x46 (70) | Catalog Offset 0x2000001 | Reserved 0x46A4A0
[LoadConfig] GuardAddressTakenIatEntryTable 0x8000011 | Count 0x46A558 (4629848)
[LoadConfig] GuardLongJumpTargetTable 0x8000001 | Count 0x46A5F8 (4630008)
[LoadConfig] HybridMetadataPointer 0x8000011 | DynamicValueRelocTable 0x46A66C
[LoadConfig] FailFastIndirectProc 0x8000011 | FailFastPointer 0x46C360
[LoadConfig] UnknownZero1 0x8000011
[File Heuristics] -> Flag #1 : 00000000000000001100001000100011 (0x0000C223)
[Entrypoint Section Entropy] : 7.99 (section #5) "8rca826h" | Size : 0x66B28 (420648) byte(s)
[DllCharacteristics] -> Flag : (0x0000) -> NONE
[SectionCount] 7 (0x7) | ImageSize 0x11F000 (1175552) byte(s)
[ModuleReport] [IAT] Modules -> kernel32.dll | user32.dll
[!] EXE Cryptor v2.2.0 - v2.2.6 detected !
- Scan Took : 0.219 Second(s) [0000000DBh (219) tick(s)] [246 of 580 scan(s) done] |
|
|
|
|
17
|
Programación / Ingeniería Inversa / Re: ¿Cómo puedo crear un FAKE OEP?
|
en: 3 Febrero 2018, 17:30 pm
|
|
Si hago que no llege al entrypoint original, en si no vera desde donde comienza, porque aparte destruyo todos los jmp push ebp calls etc, y los reconstruyo en el oep
entonces si pongo un entrypoint que diga return 1 o cualquier cosa que no llame seria gg.
themida o asprotect hacen lo que yo quiero xD, el upx simplemente lo vi y lo que hace es obtener todos los importes en el principio y luego llamar al oep. (o algo asi, lo vi por encima en el depurador xd)
EDIT: Igual ya descubri como proteger y hacer que todo el programa use la api sin usar imports xD, etc etc es hermoso proteger los programas (?.
|
|
|
|
|
19
|
Programación / Ingeniería Inversa / ¿Cómo puedo crear un FAKE OEP?
|
en: 29 Enero 2018, 20:06 pm
|
|
La pregunta es como puedo crear un fake oep, en si puedo redireccionar el oep a varias partes pero es en vano, también puedo crear un oep y ponerlo con un call que se repare y evitar ida etc.
¿Hay algun tutorial que enseñe a dividir el PE Header, para empaquetar etc?.
El UPX esta dividido en 8.000 partes y no da para revisarlo.
|
|
|
|
|
|
| |
|
