Desempaquetar exe en PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay]

Iniciado por AlejandraVal, 27 Noviembre 2015, 18:19 PM

0 Miembros y 1 Visitante están viendo este tema.

AlejandraVal

Hola, les escribo ya que queria ver si me podian ayudar a desempaquetar un exe que esta protegido por PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay].

MCKSys Argentina

Cita de: AlejandraVal en 27 Noviembre 2015, 18:19 PM
Hola, les escribo ya que queria ver si me podian ayudar a desempaquetar un exe que esta protegido por PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay].

Hola!

Y hasta dónde has llegado? Qué has podido lograr por tus medios? Pon tus avances!

No conozco ese packer, pero buscando rápido en Google, encontré algunas cosas interesantes (aunque muchas, en chino).

Por lo pronto, parece que puedes bajarte el packer, lo cual facilita el análisis del mismo. si empacas un EXE conocido, podrías otener algunas respuestas.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


AlejandraVal

consegui un script    pencript 4.0 oep finder.txt (tiene un pequeño error en el codigo un signo de pregunta) al parecer encuentra el punto de entrada y lo cargo en olidump. hasta ahi todo bien salvo que al provarlo con peid me da error que no es un pe valido y no carga

MCKSys Argentina

Cita de: AlejandraVal en 28 Noviembre 2015, 00:53 AM
consegui un script    pencript 4.0 oep finder.txt (tiene un pequeño error en el codigo un signo de pregunta) al parecer encuentra el punto de entrada y lo cargo en olidump. hasta ahi todo bien salvo que al provarlo con peid me da error que no es un pe valido y no carga

Y verificaste si el script llega al OEP efectivamente? Imagino que arreglaste la IAT, no?

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


AlejandraVal

#4
estuve probando con uno como ejemplo a ver como se comporta y ver cuando llego al codigo. el primero pongo dos imagenes uno es el ej de crack.exe que lo encripte con el programa pencrypt4 y el otro es el que estoy tratandohttp://imgur.com/a/R8NNP
   Luego de ese return pasa a toda la etapa de instalacion osea da un salto hacia atras y comienza.http://imgur.com/1tLnTxY

  Comento un  poco logre al final con el txt y luego dumpeando con ollidbg, luego repare la iat   cosa que al final solo con imprec y el tracer lo corrigio asi que ahora me queda decompilar wise installer dump. otra cosa que justo ahora me percate o digamos no le di importancia es que la clave me la pide luego de instalarse. osea al ejecutar por primera vez
que solucion hay a eso?

Otro programa similar a este codificado igual no obtuve el mismo resultado. el imrec no me deja ver el proceso(ya revise que no me este detectando el debug). igualmente cuando lo debugueo al parecer crea unas carpetas y a travez de un dll se ejecuta el programa por lo que la ventana de cuando coloco la clave no la puedo monitorear. salvo que salga de la instalacion. y ahi puedo continuar viendo su comportamiento.


apuromafo CLS

#5
tienes el packer  http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEncrypt.shtml#download  



que sistema operativo usas? yo en general para todo script lo hago en máquina virtual de xp sp3, para por lo menos ser algo compatible con xp

quedo a la espera de algun link y tus avances, sugiero leas los escritos de ricardo

puede que estes perdido entre algún módulo




acabo de empacar uno cualquiera, con algunas opciones varias, primero
0046AAA4 | 9D                       | popfd                                   |
0046AAA5 | 61                       | popad                                   |
0046AAA6 | EB 02                    | jmp crackme.46AAAA                      |
0046AAA8 | A0 BE 60 9C BE           | mov al,byte ptr ds:[41639F42]           |
0046AAAD | 00 B0 44 00 8B FE        | add byte ptr ds:[eax-174FFBC],dh        |
0046AAB3 | B9 00 30 00 00           | mov ecx,3000                            |
0046AAB8 | BB 32 FA DE 6A           | mov ebx,6ADEFA32                        |
0046AABD | AD                       | lods dword ptr ds:[esi]                 |
0046AABE | 33 C3                    | xor eax,ebx                             |
0046AAC0 | AB                       | stos dword ptr es:[edi]                 |
0046AAC1 | E2 FA                    | loop crackme.46AABD                     |
0046AAC3 | 9D                       | popfd                                   |
0046AAC4 | 61                       | popad                                   |
0046AAC5 | B8 B0 71 42 00           | mov eax,crackme.4271B0                  | ;4271B0:"gq2"
0046AACA | FF E0                    | jmp eax                                 |
0046AACC | 00 00                    | add byte ptr ds:[eax],al                |
0046AACE | 00 00                    | add byte ptr ds:[eax],al                |

eso es el salto al oep

en general podria comentar que es como desempacar un upx, solo que con algunas capas de ofuscación

0040CD28    BD CC104000     mov     ebp, 004010CC
0040CD2D  - FFE5            jmp     ebp                              ; PEncrypt.004010CC

0045E075    BA C37A4400     MOV EDX, 00447AC3                 
  0045E07A    FFD2            CALL EDX

el salto al oep es asi (r32 se refieren a registros de 32 bytes)

mov R32,oep
jmp R32 

o bien
mov R32,oep
CALL R32


yo te sugiero para dump el scylla, luego del dump importas la iat, colocas fix pe header y luego rebuild, eso es todo...

AlejandraVal

#6
yo uso w10 como no vi que molestara con eso, en unos dias pongo avances.

apuromafo CLS

Cita de: AlejandraVal en  4 Diciembre 2015, 11:51 AM
yo uso w10 como no vi que molestara con eso, en unos dias pongo avances.

minimo debes usar algo que te permita depurar en windows 10, yo uso windows 8.1, hay unas excepciones normales que ocurren,  para ello uso ---------------------------
OllyWow64
---------------------------
OllyWow64 by waliedassar
en caso x, puedes intentar probar primero en un upx y luego en otros packers
o bien máquina virtual con un windows xp sp3 o similar (windows 7)