Error por antidebugg? multiprotección UPX y Dotfix Ayuda!

Iniciado por Moskito, 7 Julio 2020, 16:30 PM

0 Miembros y 1 Visitante están viendo este tema.

Moskito

Hola, por primera vez pondré a prueba a la gente del foro, en realidad al hecho de invertir tiempo en compartir con ustedes mi problema para ver si me pueden orientar para encontrar la solución.

He podido crackear muchos programas e incluso empacados. En este caso me he topado con un soft. empacado y protegido, o sea con 2 niveles de protección. Pero bien, ese no es el problema creo yo..

Este es el instalador del programa: NO PONER LINKS A SOFTWARE COMERCIAL

y estás son las protecciones:

https://ibb.co/qMDVyXV

El problema es que cuando intento tracear con el x64dbg (x32dbg) o incluso con el Olly me salta un error "Error Loader caused an error" mensaje lanzado por el programa que estoy traceando, no por el debugger.

https://ibb.co/YBHxYMb

He usado el pluggin ScyllaHide con el x64dbg temiendo que sea un anillo de protección antidebugger tal vez pero sigue pasando.

El problema aparece cuando utilizo breackpoints, si no pongo breackpoints no sucede, cómo puedo evitar este error al utilizar breackpoints? y coloco los breacks en donde corresponde, no previo al desempackado en ejecución sino antes de comenzar el traceo sobre el código expuesto, lo primero que busco hacer es encontrar el OEP original pero al intentar hacer eso ubicando mis breackpoints en algún JMP o PUSHAD se me termina el traceo con ese condenado error. Qué joraca estoy haciendo mal?

De paso si me recomiendan algún server para alojar y diplayar mis imágenes buenísimo.

Gracias!
No se queje si no se queja.

ThunderCls

Los BP de software son muy ruidosos y modifican el codigo original por lo que son facilmente detectables, incluso pueden llegarte a romper un codigo automodificable. Intenta en su lugar usar Memory y/o Hardware Breakpoints y comprueba si no son detectados tambien
Saludos
-[ "...I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/

tincopasan

hola:
        también podrías probar poniendo un bp en KiUserExceptionDispatcher para ver si te tira una excepción y así buscar que engancha el manejador.

xor.pt

¿Has descomprimido UPX?
¿O estás haciendo manual y das este error?

Moskito

Cita de: ThunderCls en  7 Julio 2020, 17:39 PM
Los BP de software son muy ruidosos y modifican el codigo original por lo que son facilmente detectables, incluso pueden llegarte a romper un codigo automodificable. Intenta en su lugar usar Memory y/o Hardware Breakpoints y comprueba si no son detectados tambien
Saludos

No detecta los BP por hardware solo salta el error con los que le mando por Software, dónde puedo aprender a manipular esos bp por hardware para utilizarlos en mi traceo así como lo vengo usando con los bp por soft? nunca trabajé con bp por hard. Gracias por tu respuesta.

Cita de: tincopasan en  7 Julio 2020, 17:49 PM
hola:
        también podrías probar poniendo un bp en KiUserExceptionDispatcher para ver si te tira una excepción y así buscar que engancha el manejador.

Perdón, no estoy en ese nivel de interpretar los del manejador, si tenés una referencia para ir a estudiar por favor pasame el link, así veo un ejemplo de esa técnica y veo si puedo implementarlo. No tengo problema en aprender y no quiero perder el tiempo quiero ir aprendiendo y buscando lo puntual para usar y resolver este tema, necesito crackear el programa. Gracias por tu respuesta.

Cita de: xor.pt en  7 Julio 2020, 18:16 PM
¿Has descomprimido UPX?
¿O estás haciendo manual y das este error?

Para hacer el desempacado manual necesito inicialmente rastrear el OEP original pero para hacer el traceo me encuentro con este problema de que al usar breackpoint me salta un error que me impide hacer el traceo. Gracias!
No se queje si no se queja.

xor.pt


Moskito

#6
Este es el instalador del programa con el que estoy trabajando: NO PONER LINKS A SOFTWARE COMERCIAL
No se queje si no se queja.

xor.pt

Es un poco complejo.
Buen complemento anti-anti-depurador, indico el SharpOD
Saludos.