[CONSULTA] Necesito informacion sobre manual unpacking

Iniciado por crackerman, 10 Febrero 2017, 23:07 PM

0 Miembros y 2 Visitantes están viendo este tema.

crackerman

Hola, como andan gente del foro.

Soy nuevo, pero hace muchos años que me dedico a la programacion y hasta hace unos pocos por el reversing, todo de forma autodidacta.

Y eh visto que el packer themida, era uno de los mas dificiles, asi que emprendi el camino a ver si podia lograr algo, cabe destacar que no soy un experto pero tampoco soy un novato, tengo conocimientos ensamblador, reversing, etc... Pero estoy perdido no se de donde conseguir informacion concreta sobre manual unpacking de las tecnicas que usa themida, solo encuentro tutoriales de como desempacarlo con scrpits, o tutoriales muy complicados que van muy al grano, y no aprendo nada.

En fin cual seria el camino ideal para poder con este packer? Gracias por leer ;).

Geovane

Para servicios, envíe un mensaje privado, sólo para servicios en curso hasta fecha de 10/06/2019

apuromafo CLS

realmente quieres desempacarlo? tardarás posiblemente 1 mes en depurarlo si aun no sabes mucho

los script automaticos, incluyen experiencia de muchos temas, si eres capaz de leer las instrucciones y ver como funciona deberias saber como lo hace

respecto a tutoriales yendo al grano..si hay de ncr, de snat y uno mio con snat

sea cual sea el caso themida es un hueso duro de roer y no es algo que se pueda decir  oye desempacamelo, aunque sea por 100000 dolares, no va en eso

ademas themida tiene 2 tipos de máquina virtual cisc risc lo que hace que sea aun mas complejo sacar cosas genericas




digamos una idea basica de unpacking

1) hay algunos thread con antidebug, al terminar llegas al oep

2) hay apis que estan emuladas, apis que estan desordenadas, apis que estan protegidas por vm, apis normales que puedes recuperar aveces en puntos mágicos...

3) al dumpear tienes que agrgar varios heap, lo que hace que si estan mal distribuidos en el nuevo exe..tendras que cargarlo en el mismo modulo o bien buscar alguna forma de parchar para que lo acepte

4) a pesar de desempacar y agregar antidump, logras tener el programa corriendo, nada asegura que no hubo algun thread que ha dejado dañado alguna porcion del programa, que trabaje esperando un evento que posiblemente no ocurrirá, deberas descifrar la porcion y dejarla descifrada...

5) a pesar de desempacar, descifrar, parchar reparar, nadie te asegura que el programa no verifique nuevos crc, osea ademas tienes que reparar pequeños algoritmos que validen de la misma forma...



luego de eso tienes un programa desempacado y funcional, antes de eso, tienes que saber

las apis que antes eran  jmp dword 4010000 ahora son del tipo jmp lugar de themida

y posiblemente nunca tienees tu iat original, osea debes re-construir...
coloca buscar "themida"

http://ricardonarvaja.info.info/WEB/buscador.php

y posiblemente tengas mas informacion

saludos cordiales
Apuromafo

pd: es mas facil intentar inlinear con dup, sabiendo que parcharás, a desempacarlo



crackerman

Gracias por tu respuesta concreta, bueno, vere que hago, el tiempo es relativo, ya que es por el merito hecho de poder hacerlo, entender como funcionan estos packers tan complejos, seguire investigando, me leere algunos tutos de la pagina de ricardo.

PD: Hay packer peor que este?

apuromafo CLS

Cita de: crackerman en 13 Febrero 2017, 21:33 PM
Gracias por tu respuesta concreta, bueno, vere que hago, el tiempo es relativo, ya que es por el merito hecho de poder hacerlo, entender como funcionan estos packers tan complejos, seguire investigando, me leere algunos tutos de la pagina de ricardo.

PD: Hay packer peor que este?

si bastantes, veamos vmprotect, winlicense, enigmaprotector entre otros, además considera que estos son packer para x86 , tambien existen plataformas x64 y .net  osea hay un verdadero mundo...de protecciones

besoeso

@apuromafo

Tienes algun tuto o infor para Themida x64 NET ?


Saludos

apuromafo CLS

al minuto no recuerdo que hubieran muchos sobre el tema, casi siempre terminan igual usando tools de 3eros para dumpear y reparar todo.

el foro donde mas hablan de packers seria tuts4you y exetools :)

Saludos Apuromafo