Consulta: UPolyx 0.5 o Themida, o los 2?

Iniciado por g6, 25 Noviembre 2007, 22:14 PM

0 Miembros y 1 Visitante están viendo este tema.

g6

Buenas gente, estoy trabajando en desproteger una aplicación y estoy teniendo problemas con las protecciones antidebugger.
Les presento el caso:
---Usando OllyDbgAdvanced_1.2 me lo detecta igual y se cierra.
---Usando la versión de Shadow, no lo detecta, pero se cierra cuando le doy al primer F9.
---Ocultando Olly con HideToolz no hay problema, pero al parecer es como si corriese algo en forma "encapsulada" o "protegida" no sé bien como decirlo ya que soy relativamente nuevo en esto.
El caso en particular es que este programa trabaja con el kernel32.dll usando el WriteProcessMemory y no puedo setear un breakpoint en acceso al mismo ya que por más que oculte el debugger o lo que sea al parecer internamente cierra el hilo que se encarga de eso y sigue funcionando "mostrándose" como que nada pasó.
Mi pregunta es si estoy bien encaminado o no, ya que el PEiD del Universal Extractor me detecta lo siguiente:

Y el PEiD del OLLYDBG FULL 0_1_1_YDbg.rar me tira esto:


La duda es de que se trata y como tengo que encarar el tema...
¿primero tengo que sacar UPolyx y luego Themida?
¿Puedo seguir algún tutorial ya armado para este caso en particular?
¿Es Themida o Winlicense?

Sepan disculpar, pero la verdad ya no sé que más hacer y les juro que no es de vago pero esto me desvela de solo saber como puedo hacer. :-(
Gracias desde ya.... y piedad

tena

Proba pasandole el RDG Packer detector para saber con que esta empacado.

el link lo podes encontrar aqui mismo en herramientas..

Saludos
tena

g6

#2
Cita de: tena en 25 Noviembre 2007, 23:43 PM
Proba pasandole el RDG Packer detector para saber con que esta empacado.

el link lo podes encontrar aqui mismo en herramientas..

Saludos
tena

Gracias tena... pero ahora entiendo menos, por donde va la cosa?
Themida, Upolyx o Xprotector? :-\
Te dejo screen de RDG PAcket Detector 0.6.5


Edit: Empecé a leer estos tutoriales a ver si encuentro algo desde adentro con que identificarlo (que Dios se apiade de mí... :P), les dejo los links:

Tutorial en Ricardo Narvaja Teoria Themida por Akira
Tutorial en Ricardo Narvaja Teoria Xprotector por Akira

solidcls

Solid [CrAcKsLaTiNoS]

Karman

Da el nombre del programa (o subilo y pasá el link)... así lo vemos y capaz alguno le encuentra la vuelta...

S2

g6

#5
Al parecer es un Themida, digo porque eso se ve en la parte de memoria del Olly.
Es durísimo de laburar y eso es lo que estoy buscando, no pido que me den la posta simplemente que pueda laburar y poner los breakpoints donde yo quiera, nada más.

Lo más cercano a poder "caminar" por el mismo fue usando la versión de un árabe de Olly llamada HanOlly que aparentemente viene con un driver para evitar las llamadas ZwNosecuanto del kernel (si esa maldita parte del ring0)

No sé si podrán ayudarme ya que es parcheador en memoria de un  j u e g o  y tendrían que bajarse el  j u e g o  e instalarlo y crearse la cuenta, etc. etc.
Les dejo el programa
...y la versión de Olly con la que estoy probando y parece funcionar, pero es escasa mi sapiencia sobre las APIS del sistema(ya probé OllyforThemida, Olly y los plugins OllyDbgAdvanced_1.2,IsDebugger y Phantom todos juntos como dice en este tutorial. Así también la versión de Shadow y a su vez todas ellas con HideToolz también)
Creo que estoy cerca con esta versión pero me gustaría mucho la opinión de los que más saben para saber si sigo por este camino o busco otra forma.

Disculpen las palabras separadas pero sé que el  a d m i n  del  j u e g o  está constantemente en la búsqueda para volver a proteger. :o
Si alguno está realmente interesado en que es lo que realmente busco (procedimiento interno) por favor contáctese conmigo.
Gracias

francoeye

bueno yooo tambien tengo una complicacion no soy experto en este tema
por lo tanto les pido su ayuda
hay un programa de un juego que busco crackear y no se exactamente como extraerlo bien parece UPolyx por favor...


y gracias por su atencion

aqui les dejo el link

http://www.bot-cave.net/

vas a Download latest o Mirror 1


gracias por tu cooperacion