Hola,
Llevo días leyendo en el foro, también pasando el curso viejo de Ricardo Narvaja sobre Ollydbg y el objetivo es Crakear un programa X como reto personal.
Actualmente me toca pasar a la lección 33 "Que es la IAT y como repararla" , la verdad algo se me ha pegado ...pero voy repasando con lo aprendido en ese programa x y no he avanzado nada ,aun no he podido encontrar la OEP con ningún método.
Después de leer en varios sitios del foro me atrevo a poner mis dudas por aquí .
Programa x
Programado en Microsoft Visual C++ 9.0
cifrado con xenocode virtual sandbox.
Mi Pc 64 bits.
El programa x 32 bits en carpeta x86.
1)Que versión de Ollydbg debería usar?
2)Necesitaría desempacar antes de seguir(será muy difícil el cifrado) o podré seguir con Olly y el tute ,una vez que encuentre la OEP .
3)Si tuviera que desempacar , The Xenocode Solution v2.0 me da error y Net Generic Unpacker no encuentra el proceso, hay algún otro desempacador que me sirva?
Saludos
cuando termines el curso tendras una referencia con programas x86 y puedes adaptarlo a x64, el tema es este, el programa que tienes está en .net
y los tutoriales de .net están con lenguaje intermedio msil etc...bueno hay gran discusión del tema
busca "net" o "dotnet" en http://ricardonarvaja.info/WEB/buscador.php
por otro lado una cosa es saber depurar programas y otra muy diferente conocer todas las características de un programa
por eso siempre uno debe comenzar primero con cosas conocidas antes que desconocidas
además en google y sitios ingleses siempre hay material complementario, por ejemplo blackstorm team, trabaja sobre muchos .net y tuts4you tiene bastante tutoriales eso si en inglés
por otro lado, si la idea es aprender
https://www.google.cl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=Xenocode+unpack
Saludos Apuromafo
Hola,
Gracias por tu respuesta ,
Llegado a este punto tendré que parar el tuto y buscar otras referencias como las que me comentas.
Pensaba que al estar programado en el 2005 podía ser un poco fácil de resolver(igual hay actualizaciones recientes , ni idea). Es mas la necesidad de cumplir el reto que de aprender.
Lo pase por DE4DOT y me salio este mensaje.
WARNING:The file isn`t 0 .NET PE file
Press any key to exit...
Saludos
Cita de: Homarih en 19 Mayo 2016, 10:36 AM
Programa x
Programado en Microsoft Visual C++ 9.0
cifrado con xenocode virtual sandbox.
Cita de: Homarih en 19 Mayo 2016, 15:14 PM
Lo pase por DE4DOT y me salio este mensaje.
WARNING:The file isn`t 0 .NET PE file
Press any key to exit...
Te contradices: primero has puesto que está hecho en VC++ y luego le pasas un desofuscador de .NET ???
Si estás siguiendo el curso, deberías saber que RDG packer detector se usa para saber que proteccion tiene el ejecutable y con que ha sido compilado. También puedes usar ProtectionID.
Con respecto a lo de 64 bits: Usa VMWare con un Windows XP SP3 o 7 de 32 bits. Con eso ya no necesitas nada especial y, ademas, no haces "cosas raras" en tu PC principal. Demás está decir que los plugines para Olly funcionarán sin problema... :)
Saludos!
Con el RDG packer me salio lo que os puse , el lenguaje y el tipo de empacado.
Después de buscar por la red para intentar desempacar , encontré 3 alternativas
Xenocode solución v 2.0 da error
Net Generic Unpacker no reconoce el proceso
DE4DOT
Mirare lo de wmware.
Saludos
Instalada la maquina virtual , el programa corre igual que antes , el tema es que no logro unir vuestros comentarios y las dudas son mayores :-[ , de todos modos gracias a los dos por el esfuerzo.
Citarel tema es este, el programa que tienes está en .net
CitarTe contradices: primero has puesto que está hecho en VC++ y luego le pasas un desofuscador de .NET ???
Saludos
MOD EDIT: No hacer doble post.
Desconozco porqué apuromafo piensa que el programa es un .NET. Mi respuesta fue en base a la info que diste.
Sólo puedo aconsejarte que si aún estás aprendiendo y el target es muy complejo para ti, déjalo para cuando adquieras más experiencia.
Saludos!
Gracias por el consejo,sigo empollando ...
Después de un buen repaso a todos los métodos para encontrar la OEP y cacharreando con Olly esta vez con la versión v 2.01 , fui tracendo con shif f9 y encontré esto en el log.
(http://i.imgur.com/ngMFXBEl.jpg)
Themida es un packers no es así? Al pasar RDG me salia lo que os puse y con el PEID no me sale nada .
Le echare un ojo a esto (1532-Desempacando Themida (tuto 33) 2013 by Ivinson )a ver si me ayuda
Saludos
Cita de: Homarih en 22 Mayo 2016, 12:40 PM
Gracias por el consejo,sigo empollando ...
Después de un buen repaso a todos los métodos para encontrar la OEP y cacharreando con Olly esta vez con la versión v 2.01 , fui tracendo con shif f9 y encontré esto en el log.
(http://i.imgur.com/ngMFXBEl.jpg)
Themida es un packers no es así? Al pasar RDG me salia lo que os puse y con el PEID no me sale nada .
Le echare un ojo a esto (1532-Desempacando Themida (tuto 33) 2013 by Ivinson )a ver si me ayuda
Saludos
Te daré el mejor consejo, no pierdas tu tiempo, es imposible que logres vencer tal protección con tan poco conocimiento. Aprox requieres por lo menos un año de base para poder realizar el trabajo tu mismo, sin ayuda de nadie, el problema radica en que nadie te podrá ayudar si lo único que haces es el 1er paso de todo el gran trabajo:
"saber si está con algún packer o no"
Suerte en tu contienda jeje
Me a tocado bailar con la coja...
Gracias a todos
Saludos
Cita de: Homarih en 22 Mayo 2016, 21:31 PM
Me a tocado bailar con la coja...
Gracias a todos
Saludos
Comienza con algo básico luego con el tiempo lo podrás volver a intentar, saludos y nunca te rindas :)
xenocode es un protector para archivos net http://www.developerfusion.com/product/3321/xenocode-net-obfuscator-and-optimizer/
por otro lado themida es un packer estudiado
coloca en el mismo buscador "themida" "oreans"
el ultimo escrito al respecto es : http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1501-1600/1589-Themida%202.3.9.0%20Vba%20Password%20Remover%20por%20Snat%20%26%20Apuromafo.rar