[?] Alguien que domine mucho Ingeniería Inversa?

Iniciado por MeCraniDOS, 26 Junio 2013, 14:16 PM

0 Miembros y 1 Visitante están viendo este tema.

MeCraniDOS

Le he pasado el RDG Detector y me salia que era un crypter, que estaba empaquetado con un crypter, por eso digo lo de desempaquetar...  :-\ :-\
"La física es el sistema operativo del Universo"
     -- Steven R Garman

Flamer

MeCraniDOS nomas dises que quieres desempacar y no dises donde estas atorado, si no sabes mejor lee te algun tutorial de como desempacar y como llegar al EOP.

dinos que no entiendes y sino entiendes nada lee te un tutorial

saludos flamer

apuromafo CLS

es bonito intentar preguntar o pedir algo, pero cuando lees puedes pedir cosas mas concretas

en todo packer o cripter hay cosas en común
1)el ejecutable en lo posible se protege para no ser visible su codigo completo, por lo cual jugará con banderas, hará procesos de escritura en memoria(writeprocess, openprocess), o bien simplemente creará un archivo(createFIleA) para luego ejecutarlo, de una o mil formas, hay muchisimos programas y muchisimos crypter, y no por eso significa que no se pueda hacer nada

cuando vas por el escrito de ricardo, mas o menos por el 20 o 30 ya deberías por lo menos lograr encontrar el OEP, ya por el 50, deberías poder ya reparar la iat, y ya terminado el curso y leyendo algunas teorias numeradas, ya deberías ser inclusive mas independiente, algunos lo logran en semanas, otros en meses y otros no necesitarlos

insisto, todos tenemos historias diferentes, pero insisto, cuando aprendes a usar el depurador, complementar con un lenguaje de programación(aunque no sepas programar), tener una idea de como desempaca el programa, pero insisto, luego de encontrar el oep, reparar la iat, te queda dumpear  y confirmar si queda algo mas

normalmente en el area de malware encontrarás mucho programas crypter , como tambien troyanos y otro(troyanos son programas que sólo son visibles para sus dueños, y en parte invisible para ti...)...

saludos ^^ y como te dice flamer, a leer, cuando lees nacen preguntas pero segun como vas, pues no has leido nisiquiera las chinchetas que tanto ayudan...

Apuromafo 2013

MeCraniDOS

Cita de: apuromafo en 28 Junio 2013, 15:04 PM
es bonito intentar preguntar o pedir algo, pero cuando lees puedes pedir cosas mas concretas

Esta programado con VB6, y el packer me sale "VB.Crypter (Heuristic Detection)" y tiene activado lo de CheckIsDebuggerPresent, que eso ya lo he quitado, pero no se como quitarle el packer...
"La física es el sistema operativo del Universo"
     -- Steven R Garman

.:UND3R:.


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

apuromafo CLS

#15
luego que estudies
casi todos los cripter usan firmas, mm 50% usan combos que están en este script
http://tuts4you.com/download.php?view.2457

por otro lado ,hay tutoriales de crypter en
http://www.ricardonarvaja.info/WEB/buscador.php

pero si es realmente un visual basic(vb) deberías tener cuidado en por lo menos decompilar y tener una ideas del funcionamiento de las apis sobre todo alguna Dll Function call   , (vbdecompiler por lo menos para complementar con maps )

aun asi creo que es muy global, y si realmente estas interesado debes aprender a desempacar, hay crypter faciles y otros un poco mas densos, comienza con el script que te adjunte en este escrito, pero de igual manera siempre van a haber vacios si otro te hace la ayuda... por eso aprende, y luego preguntas cuando vengan dudas que se relacionen un poco mas cerrado

ejemplo no es lo mismo decir  quiero un libro para leer(te diremos unos 20mil o mas) , que decir quiero leer fisicocuántica(será menor) y si dices autor( será aun menor), ahora digamos que desconoces el autor y que describes lo que leiste, aqui alguien te puede orientar, pero si quedas con lo que aparece en los scan, te puedes llevar impresiones muy diferente a la realidad, hay hasta programas que hacen fake sign(firmas falsas en el entrypoint)

MeCraniDOS

#16
Cita de: apuromafo en 31 Julio 2013, 06:03 AM
luego que estudies
casi todos los cripter usan firmas, mm 50% usan combos que están en este script
http://tuts4you.com/download.php?view.2457

No me funciona el link  :-\

Cita de: .:UND3R:. en 29 Julio 2013, 16:11 PM
http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html

A estudiar!

Me lo estaba leyendo ahora  ;-)
"La física es el sistema operativo del Universo"
     -- Steven R Garman

apuromafo CLS

xD aca si funciona, igual lo pego mejor
// HaLV Crypter Unpacker
//Tested with UnPackMe_HaLV Crypter.exe
//(c) 0x0c0de 2008
var w_address
var r_address
var reg_size
var reg_addr
gpa "WriteProcessMemory","kernel32.dll"
mov w_address,$RESULT
cmp w_address,0
je end_
bp w_address
gpa "ResumeThread","kernel32.dll"
mov r_address,$RESULT
cmp r_address,0
je end_
bp r_address
lp:
run
cmp eip,r_address
je ext
mov reg_size,[esp+10]
mov reg_addr,[esp+0c]
dma reg_addr,reg_size,"unpacked_file.exe"
jmp lp
ext:
bc w_address
bc r_address
end_:
ret