Duda con un empacado

Iniciado por Homarih, 19 Mayo 2016, 10:36 AM

0 Miembros y 1 Visitante están viendo este tema.

Homarih

Hola,

Llevo días leyendo en el foro, también pasando el curso viejo de Ricardo Narvaja sobre Ollydbg y el objetivo es Crakear un programa X como reto personal.

Actualmente me toca pasar a la lección 33 "Que es la IAT y como repararla" , la verdad algo se me ha pegado ...pero voy repasando con lo aprendido en ese programa x y no he avanzado nada ,aun no he podido encontrar la OEP con ningún método.

Después de leer en varios sitios del foro me atrevo a poner mis dudas por aquí .

             Programa x
Programado en Microsoft Visual C++ 9.0
cifrado con xenocode virtual sandbox.
Mi Pc 64 bits.
El programa x 32 bits en carpeta x86.

1)Que versión de Ollydbg debería usar?
2)Necesitaría desempacar antes de seguir(será muy difícil el cifrado) o podré seguir con Olly y el tute ,una vez que encuentre la OEP .
3)Si tuviera que desempacar , The Xenocode Solution v2.0 me da error y Net Generic Unpacker no encuentra el proceso, hay algún otro desempacador que me sirva?



Saludos

apuromafo CLS

cuando termines el curso tendras una referencia con programas x86 y puedes adaptarlo a x64, el tema es este, el programa que tienes está en .net

y los tutoriales de .net están con lenguaje intermedio msil etc...bueno hay gran discusión del tema

busca "net" o "dotnet" en http://ricardonarvaja.info/WEB/buscador.php
por otro lado una cosa es saber depurar programas y otra muy diferente conocer todas las características de un programa

por eso siempre uno debe comenzar primero con cosas conocidas antes que desconocidas
además en google y sitios ingleses siempre hay material complementario, por ejemplo blackstorm team, trabaja sobre muchos .net y tuts4you tiene bastante tutoriales eso si en inglés


por otro lado,  si la idea es aprender
https://www.google.cl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=Xenocode+unpack

Saludos Apuromafo

Homarih

#2
Hola,

Gracias por tu respuesta ,
Llegado a este punto tendré que parar el tuto y buscar otras referencias como las que me comentas.
Pensaba que al estar programado en el 2005 podía ser un poco fácil de resolver(igual hay actualizaciones recientes , ni idea). Es mas la necesidad de cumplir el reto que de aprender.
Lo pase por DE4DOT y me salio este mensaje.

WARNING:The file isn`t 0 .NET PE file
Press any key to exit...

Saludos

MCKSys Argentina

Cita de: Homarih en 19 Mayo 2016, 10:36 AM
             Programa x
Programado en Microsoft Visual C++ 9.0
cifrado con xenocode virtual sandbox.

Cita de: Homarih en 19 Mayo 2016, 15:14 PM
Lo pase por DE4DOT y me salio este mensaje.

WARNING:The file isn`t 0 .NET PE file
Press any key to exit...

Te contradices: primero has puesto que está hecho en VC++ y luego le pasas un desofuscador de .NET ???

Si estás siguiendo el curso, deberías saber que RDG packer detector se usa para saber que proteccion tiene el ejecutable y con que ha sido compilado. También puedes usar ProtectionID.

Con respecto a lo de 64 bits: Usa VMWare con un Windows XP SP3 o 7 de 32 bits. Con eso ya no necesitas nada especial y, ademas, no haces "cosas raras" en tu PC principal. Demás está decir que los plugines para Olly funcionarán sin problema... :)

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Homarih

#4
Con el RDG packer me salio lo que os puse , el lenguaje y el tipo de empacado.
Después de buscar por la red para intentar desempacar , encontré 3 alternativas
Xenocode solución v 2.0     da error
Net Generic Unpacker          no reconoce el proceso
DE4DOT      

Mirare lo de wmware.

Saludos




Instalada la maquina virtual , el programa corre igual que antes , el tema es que no logro unir vuestros comentarios y las dudas son mayores :-[ , de todos modos gracias a los dos por el esfuerzo.

Citarel tema es este, el programa que tienes está en .net

CitarTe contradices: primero has puesto que está hecho en VC++ y luego le pasas un desofuscador de .NET ???

Saludos

MOD EDIT: No hacer doble post.

MCKSys Argentina

Desconozco porqué apuromafo piensa que el programa es un .NET. Mi respuesta fue en base a la info que diste.

Sólo puedo aconsejarte que si aún estás aprendiendo y el target es muy complejo para ti, déjalo para cuando adquieras más experiencia.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Homarih

#6
Gracias por el consejo,sigo empollando ...

Después de un buen repaso a todos los métodos para encontrar la OEP y cacharreando con Olly esta vez con la versión v 2.01 , fui tracendo con shif f9 y encontré esto en el log.




Themida es un packers no es así? Al pasar RDG me salia lo que os puse  y con el PEID no me sale nada .

Le echare un ojo a esto (1532-Desempacando Themida (tuto 33) 2013 by Ivinson )a ver si me ayuda

Saludos

.:UND3R:.

Cita de: Homarih en 22 Mayo 2016, 12:40 PM
Gracias por el consejo,sigo empollando ...

Después de un buen repaso a todos los métodos para encontrar la OEP y cacharreando con Olly esta vez con la versión v 2.01 , fui tracendo con shif f9 y encontré esto en el log.




Themida es un packers no es así? Al pasar RDG me salia lo que os puse  y con el PEID no me sale nada .

Le echare un ojo a esto (1532-Desempacando Themida (tuto 33) 2013 by Ivinson )a ver si me ayuda

Saludos


Te daré el mejor consejo, no pierdas tu tiempo, es imposible que logres vencer tal protección con tan poco conocimiento. Aprox requieres por lo menos un año de base para poder realizar el trabajo tu mismo, sin ayuda de nadie, el problema radica en que nadie te podrá ayudar si lo único que haces es el 1er paso de todo el gran trabajo:
"saber si está con algún packer o no"

Suerte en tu contienda jeje

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Homarih

Me a tocado bailar con la coja...

Gracias a todos
Saludos

.:UND3R:.

Cita de: Homarih en 22 Mayo 2016, 21:31 PM
Me a tocado bailar con la coja...

Gracias a todos
Saludos

Comienza con algo básico luego con el tiempo lo podrás volver a intentar, saludos y nunca te rindas :)

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)