Deteccion de Packer.

Xavierk · 18 Diciembre 2008, 17:05 PM

Bueno antes que nada me presento, soy nuevo en esta comunidad y he dado algunos pasos pequeños en la ingenieria inversa.

Hoy empece a ver un programa, pero me he encontrado con que se me esta complicando para detectar con que esta empaquetado como para poder seguir de ahi con algun tut.

El RDG 0.6.6 lo detecta como posible vmprotect heuristica.
El PEiD 094 lo detecta como PCX (

)

Por lo q pude ver me parece q es alguna version de zprotect.... Alguien tiene alguna recomendacion o tut como para arrancar?

Muchas Gracias de antemano!

tena · 18 Diciembre 2008, 17:33 PM

Hola aqui tienes un tute de zprotect que hice para el concurso 6 nivel 2 en CracksLatinos.

http://ricardonarvaja.info/WEB/CONCURSOS%202008/CONCURSO%206/C6N2%20Zprotect%20by%20tena.rar

suerte

Xavierk · 18 Diciembre 2008, 21:33 PM

Muchas Gracias por tu respuesta rapida... pero evidentemente tampoco es zprotect.

No se si habra alguno similar... si sirve les envio una screen del entry point...

En vez de arrancar con un jmp... arranca con un push xxxxxxxx call xxxxxxxx push xxxxxxxx call xxxxxxxx

tena · 18 Diciembre 2008, 22:51 PM

Tambien podrias poner una imagen de las secciones.

Slds

pelu11 · 19 Diciembre 2008, 12:15 PM

Mira tus MP.

Xavierk · 19 Diciembre 2008, 12:24 PM

aca van las secciones:

Y este es el entrypoint

EDIT: bueno estuve investigando un poco y creo q es vmprotect 1.7.

Xavierk · 19 Diciembre 2008, 20:41 PM

Bueno ... no lo pude desempaquetar todavia... peeeeeero por lo menos pude encontrar el codigo de mi pc para la proteccion del hw fingerprint... asi q por lo menos ahora se ejecuta...

Ahora necesitaria alguna mano amiga q me tire algun tuto o algun dato de como se puede desempaquetar el vmprotect.

SALUDOS Y GRACIAS A TODOS!!!