archivo .enc

Iniciado por Potato, 7 Mayo 2012, 17:06 PM

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2 3 4 5
Acciones del Usuario

Potato

#40
9 Mayo 2012, 10:40 AM
vale no queria molestar solo que me emociono jeje pues a partir de ahora expresare mis dudas en otros post.....

Posdata: espero sean las menos posibles jeje

apuromafo CLS

#41
4 Junio 2012, 05:28 AM
muchos post y pocos intentos
espero a futuro puedan analizar más
1) usar programas que analizen si posee alguna criptografia
2) depurar el programa con un monitor de apis como Kam de kakeware  o bien herramientas como Regmon y filemon
esto seria semi literalmente la sugerencia de Under:
Yo me basaría en la API CreateFile o OpenProcess (El cual se encargan de abrir, o modificar archivos).

con respecto a las APIS, es un código que viene integrado en una tabla (de importaciones y exportaciones) dentro de una dll, la cual normalmente es guardada en system32 (para dlls de sistema operativo) el cual siempre esta ahi,
Ahora bien Cuando uno depura un programa , al abrir puede colocar un Bp en la Api (de alguna dll cargada en memoria), luego dar ejecutar y ver los parametros que se pasan a ahi y luego quitar el bp o bien usar BP condicionales , todo depende en su programacion (fox, .net, visual basic, c++, empacados (protegidos), y aveces nisiquiera esta la protección y lectura en el programa, aveces están en las dll que le acompañan en runtime(en ejecución) ), las apariencias engañan en cuanto a los archivos, aveces son recursos externos, aveces escritos en ascii, hexadecimal y otros (por ejemplo los archivos .docx de word 2007/2010 es un simple archivo en estructura msi, pero tiene la forma de decomprimirse como cualquier sfx osea como un aarchivo comprimido como si fuese zip o rar)



aparte de encontrar referencias en Los archivos, deben buscarse referencias en REGEDIT , luego de tener eso, en los output,(writefile.readfile, outputdebugstringA/W)
luego de conocer el proceso, ya seria el proceso inverso, analizar y ver en que instancias se mantienen y cuales pueden variar


(el team Revenge CREW) una vez analizo una extension .seu  y creo un convertidor de .seu a .txt, a primera vista era semi imposible, pero fue posible

asi espero que sea con cryptool, sea con filemon regmon o lo que sea, espero que con el tiempo logren pillar informacion relevante


saludos Apuromafo
Imprimir
Ir Arriba Páginas 1 2 3 4 5
Acciones del Usuario