Deteccion de Packer.

Iniciado por Xavierk, 18 Diciembre 2008, 17:05 PM

0 Miembros y 1 Visitante están viendo este tema.

Xavierk

Bueno antes que nada me presento, soy nuevo en esta comunidad y he dado algunos pasos pequeños en la ingenieria inversa.

Hoy empece a ver un programa, pero me he encontrado con que se me esta complicando para detectar con que esta empaquetado como para poder seguir de ahi con algun tut.

El RDG 0.6.6 lo detecta como posible vmprotect heuristica.
El PEiD 094 lo detecta como PCX ( :xD )

Por lo q pude ver me parece q es alguna version de zprotect.... Alguien tiene alguna recomendacion o tut como para arrancar?

Muchas Gracias de antemano!

tena

Hola aqui tienes un tute de zprotect que hice para el concurso 6 nivel 2 en CracksLatinos.

http://ricardonarvaja.info/WEB/CONCURSOS%202008/CONCURSO%206/C6N2%20Zprotect%20by%20tena.rar


suerte

Xavierk

Muchas Gracias por tu respuesta rapida... pero evidentemente tampoco es zprotect.

No se si habra alguno similar... si sirve les envio una screen del entry point...

En vez de arrancar con un jmp... arranca con un push xxxxxxxx call xxxxxxxx push xxxxxxxx call xxxxxxxx

tena

Tambien podrias poner una imagen de las secciones.

Slds



pelu11


Xavierk

#5
aca van las secciones:





Y este es el entrypoint



EDIT: bueno estuve investigando un poco y creo q es vmprotect 1.7.

Xavierk

Bueno ... no lo pude desempaquetar todavia... peeeeeero por lo menos pude encontrar el codigo de mi pc para la proteccion del hw fingerprint... asi q por lo menos ahora se ejecuta...

Ahora necesitaria alguna mano amiga q me tire algun tuto o algun dato de como se puede desempaquetar el vmprotect.


SALUDOS Y GRACIAS A TODOS!!!