[?] IsDebuggerPresent (¿Packer?)

Iniciado por MeCraniDOS, 23 Agosto 2013, 21:53 PM

0 Miembros y 1 Visitante están viendo este tema.

MeCraniDOS

#10
Cita de: apuromafo en 23 Agosto 2013, 23:11 PM
1) no esta packed
2) es un trainer, o programa para modificar valores en runtime de algun juego

3) hay checkeos de tiempo? o mejor dicho de licencia

4)  no es posible sacar codigos de fuente , no es hecho en autoit, y lo que tienes es un delphi que carga una libreria propia para cargar flash  

hay muchisimo que debes leer, porque confiar en conocimientos de detectores está bien, pero está mejor cuando tomas ese log como consejo

leamos lo que yo veo en esa impresión de RDG detector
Compiler ->delphi   consejo, usar IDR dede IDA con map
detected:nothing(posiblemente no está empacado).> puedes cambiar los recursos a gustos y revisarlo en ollydbg IDA u otro
posible check to isdebuggerpresent-> este indica que puede tener algun llamado a isdebuggerpresent por lo cual deberás estar pendiente si hay otros checks de apis para detectar el depurador

a primera vista lo unico que me llama la atención lo dejo aqui en quote.

Por lo que estoy viendo, reventar este software te costaría 5 minutos  :¬¬

Lo has acertado todo, pero sigo pensando que esta hecho en autoit...  :-\

Tengo otro ejecutable que ese si que estoy 100 % seguro de que es AutoIt, y me marca como delphi, pero si esta en Delphi, con DeDe en teoría debería salirme el código ...




Lo abro con Olly y no veo en ningún lado el IsDebuggerPresent, pero si apreto F9 para ejecutarlo se me sale  :huh: :huh:
"La física es el sistema operativo del Universo"
     -- Steven R Garman

MeCraniDOS

Este ejecutable es igual que el otro, en este se puede ver mas claro que es AutoIt, y sigue indicando que es Delphi  :-\

http://www.multiupload.nl/SPC0ZFMTPD

Botón Derecho en el ejecutable, Propiedades, Versión, y pone AutoIt Script

No me digáis que es Delphi  :¬¬


"La física es el sistema operativo del Universo"
     -- Steven R Garman

Danyfirex

IsDebuggerPresent esta presente en todos los ejecutables hechos en autoit

MeCraniDOS

Cita de: Danyfirex en 24 Agosto 2013, 23:15 PM
IsDebuggerPresent esta presente en todos los ejecutables hechos en autoit

No me refiero a eso, me refiero a que si te vas a las propiedades del ejecutable, pone que es un script en autoit.

Me he puesto en contacto con los que han hecho RDG, y me han dicho que esta empaquetado con algún crypter en delphi, por eso sale lo del Borland Delphi, pero que efectivamente están los dos en autoit  ;-)
"La física es el sistema operativo del Universo"
     -- Steven R Garman

Danyfirex

Si esta con un crypter (RunTime) hace un volcado de memoria. :)


MeCraniDOS

Cita de: Danyfirex en 25 Agosto 2013, 00:03 AM
Si esta con un crypter (RunTime) hace un volcado de memoria. :)

Fiesta loca, he oído lo del volcado de memoria pero no tengo ni idea de como se hace  ;-) ;-)

Creo que empezare a leer sobre el tema  :silbar:
"La física es el sistema operativo del Universo"
     -- Steven R Garman

Danyfirex

Hay programas para hacer eso. aquí es donde hace presencia Google  :laugh:

MeCraniDOS

Cita de: Danyfirex en 25 Agosto 2013, 01:12 AM
Hay programas para hacer eso. aquí es donde hace presencia Google  :laugh:

Te presento a mi amigo http://lmgtfy.com/

Me pondré a buscar, gracias por la info  ;-)
"La física es el sistema operativo del Universo"
     -- Steven R Garman