Detectar Packers

Iniciado por Revolutions, 29 Julio 2010, 19:29 PM

0 Miembros y 1 Visitante están viendo este tema.

Revolutions

Hola Saludos
Tengo una DLL Delphi, que no se cual es el packer y no porque no lo haya intentado.
El primer sintoma es al intentar abrirla con DEDE me da un error "Access Violation at address 74897578. Read of address 74897578"
lo analizo con Peid y reconoce el lenguaje y no esta con packer, le paso generic unpacker y indica que no esta con packer, pero se que antes en versiones anteriores no tengo este problema. Tambien le paso el RDB y me detecta el compilador, el packer nada y en posible dice Check Isdebuggerpresent", con SABUESO me indica que tiene ACProtect 1.41.

Como vereis estoy echo un lio, para el que lo quiera analizar y ayudarme, aqui esta el link http://www.megaupload.com/?d=F19PBEF8

Por favor les ruego que me indique como lo hacen ustedes.

GRACIAS A TODOS Y SOBRETODO A LOS DE SIEMPRE, POR ESTAR AHI.

MCKSys Argentina

El archivo al que está intentando acceder está temporalmente desactivado.
:huh:
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


tena

igual

Mejor comprimilo en un ._rar_

LSL

ya está disponible para bajarlo.

como bien te dicen los analizadores, no está empacado (ante las dudas utilizas el ollydbg y si no te avisa de nada es que está limpio de packers.)

si con el DeDe no puedes, utiliza el nuevo IDR (que está mas actualizado) http://kpnc.org/idr32/en/
Saludos.

LSL.

Revolutions

Gracias por vuestra ayuda.

LSL he utilizado el IDR pero parece que no saca el codigo de los FORM, o por lo menos a mi no me los abre, Perdona si no me explique en el primer post, resulta que esta DLL hace una comprobación
el codigo es asi
CALL BIG.xxxxxxxxx
TEST CL,CL
JE BIG.xxxxxxxx
bien con DEDE iba al form y miraba el offset y lo cambiaba el salto con un editor hex. Con IDR no me sale el codigo del form y menos el offset, he intentado con olly pero realmente no se como caer en este punto.
Espero que me puesdas ayudar.

GRACIAS

LSL

#5
Hola Revolutions, en el IDR tienes practicamente lo mismo que en DeDe ... (pero está más actualizado con las definiciones por ahora hasta la versión Delphi 2009) ...

En la ventana de formularios, puedes seleccionar en modo texto o en modo form, para ver los offset debes ponerlo en modo "form", y seleccionas cualquiera de los formularios del programa analizado, haces doble click sobre el nombre del form en cuestion, y te saldra su diseño grafico en pantalla.

Bueno pues en el formulario, haces click derecho sobre el control del formulario que quieras controlar (por ejemplo el botón de OK, un Timer, etc), o sobre una parte vacia del formulario donde podras selecionar los distintos eventos asociados a este form, una vez selecciones el evento que quieres ver, en la ventana de atrás "CodeViewer (F6)", verás el codigo y los offset, (pulsa escape para quitar el form de la pantalla y te deje ver el texto).



Saludos.

LSL.

Revolutions

GRACIAS LSL, agradezco tu explicacion, me ha ayudado mucho.
Para terminar comentar sabeis porque aprecio tanto a las personas que desinteresadamente ayudais, porque a lo largo de mi aprendizaje, me he encotrado de todo,seguro que el que lo hizo se ve reflejado en este post, resulta que solicité ayuda para desempakar un programa con refox la version ultima en ese tiempo, no recuerdo cual y uno se ofrecio a ayudarme despues de pedirme que le pasara el Exe,a los 5 dias aproximados contacta por MSN, pues ese era el canal que solicitaba, dice que lo tiene todo listo, le digo lo que aprendemos los buenos, que no quiero que me lo de hecho que lo que quiero es que me enseñe, que no tiene ningun valor para mi el Exe en cuestion, despues de mucho hablar me dice ¿que puedo hacer yo por el? y le digo que quieres y me manda a piraterarle una pagina del gobierno, vamos una locura.
1º si lo se, te enseño.
2º no hago nada delictivo, solo con el fin de aprender en este mundo y buscar la forma de demostrar que no hay proteccion infalible.
3º no hago nada por obligación.
Por todo lo comentado, os valoro como si fueseis de mi familia, me siento antendido.
Otra vez mil gracias a todos lo que sin interes mi enseñaron y de los que leyendo aprendi.

REVOLUTIONS.......... ::)