Ayuda con exe que al hacer BP se cierra o cuelga

Iniciado por Fucko, 22 Mayo 2010, 06:47 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Fucko

22 Mayo 2010, 06:47 AM
Hola, tengo un exe empacado, no se el packer, ningun detector lo detecta, pero se que está empacado....
si lo abro en el olly, y lo corro, corre sin problemas... el problema llega cuando quiero hacer algun BP....
cuando hago BP, la aplicación se cierra, o tira algun error inexplicable, o se queda en "running" pero no puedo volver a tomar control de ella....
que podría ser? o como hacer el BP para seguir con f8??
gracias
Cree en los que buscan la verdad, duda de los que la han encontrado...

yako-_-

#1
22 Mayo 2010, 07:01 AM
Hola!!  Prueva con este detector para tener mas información y saber por donde atacar.

Tiene dos metodos de escaneo prueva con los dos, con este programa es raro que te falle.

en este web lo tienes amen de muchos otros de gran utilidad http://www.ech2004.net/ver_herr.php?id=1

Un saludo
Para que vivir, pudiendo trabajar los Domingos

                                                                Yako-_-

Fucko

#2
22 Mayo 2010, 15:58 PM
Hola, no se cual de todos me decis, pero ni el rdg, el peid, el exeinfo lo detectan....
solo me dicen que es un exe con 4 secciones el exeinfo....
viendo por dentro vi que aparece la palabra .aspack, pero no es aspack...
ningun detector de aspack lo detecta... el exe tiene 1 año de viejo ya.
Cree en los que buscan la verdad, duda de los que la han encontrado...

LSL

#4
22 Mayo 2010, 17:07 PM
para el peid, hay un plugin, el PackingStone que te dice si el archivo esta empaquetado, aunque no te dice el nombre del packer.

Y el olly cuando lo abre, tambien te dice si está empacado o no. Cuando esta empacado, da el siguiente mensaje
---------------------------
Compressed code?
---------------------------
Quick statistical test of module 'xxxxxx' reports that its code section is either compressed, encrypted, or contains large amount of embedded data. Results of code analysis can be very unreliable or simply wrong. Do you want to continue analysis?
---------------------------

Ademas puede tener proteccion de antidebugger, deberias correrlo con olly shadow + plugin phanton

Saludos.

LSL.

Fucko

#5
22 Mayo 2010, 17:24 PM Ultima modificación: 22 Mayo 2010, 17:42 PM por Fucko
gracias...
el soft corre bien...
incluso las nuevas versiones de themida las puedo hacer correr sin problemas XD
voy a probar otros olly, se 100% que está empacado.
me sale el mensaje del olly y tambien los detectores de packers lo detectan como empacado, pero no el nombre del packer, ya que no debe ser comercial.
estoy usando en este momento ollyICE Themida + strongOD
veo que me genera multiples threads dentro del log....

http://www.mediafire.com/download.php?mmqmjrtim2x
Cree en los que buscan la verdad, duda de los que la han encontrado...

Fucko

#6
22 Mayo 2010, 17:25 PM Ultima modificación: 22 Mayo 2010, 17:56 PM por Fucko
ME parece que no detecta el olly... sino, que al crear otro thread, cierra el que estoy...
pero ahora... como seguir en el otro thread, si yo continuo con F8, al llegar a kernel32.ExitThread no puedo continuar...

Cree en los que buscan la verdad, duda de los que la han encontrado...

LSL

#7
23 Mayo 2010, 07:13 AM
en un post de otro hilo cercano, MCKSys Argentina, me ha dejado su archivo de signaturas externas para el peid, prueba con ellas, a ver que te dice del packer de tu programa.



Saludos.

LSL.

Fucko

#8
23 Mayo 2010, 08:02 AM
Ahora con ese signature, me sale esto: Private EXE v2.0a *

pero con el scan hardcore... el normal y el deep no detecta nada.....
voy a ver que encuentro XD
gracias de nuevo.
Cree en los que buscan la verdad, duda de los que la han encontrado...
Imprimir
Ir Arriba Páginas1
Acciones del Usuario