Mi primera cruzada contra un EXECryptor ?

TrashAmbishion · 3 Septiembre 2013, 00:39 AM

Bueno les comento que he metido la pata hasta la ultimo, porque mi esposa me pidio un jueguito de modas y cosas por el estilo, y un colega mio tuvo la amabilidad de regalarme uno sin crack, entonces quise experimentar y lo tire contra el RDG y vean lo que muestra:

Mi pregunta es porque veran cuando lo puse en el Olly no veo el tipico EP de este crypter que veo en los tutoriales.

Nada mas me dice eso que ven en la imagen no me carga la otra ventanita diciendome que tiene mas protecciones...

Pero bueno aunque no tenga la misma pinta le puedo aplicar los mismos metodos que ya se han visto.

Muchas gracias cualquier respuesta u orientación. !

Flamer · 3 Septiembre 2013, 02:17 AM

hola TrashAmbishion puedes mandarme una muestra del juego por privado aver que le puedo hacer o de donde lo bajo

saludos flamer a que sea por sendspace o por ultrashare

EscritoEstáSatanás · 3 Septiembre 2013, 02:29 AM

TrashAmbishion:

Puedes mandarme por privado el "Programa", yo hecharé un vistazo a ver que...

Mad Antrax · 3 Septiembre 2013, 15:10 PM

Te recomiendo que empieces por aquí:

OllyDbg - ExeCryptor Edition
http://tuts4you.com/download.php?view.553

Es una modificación de OllyDbg 1.10 especializada en ejecutable con EXE Cryptor, tiene la config, plugins y script's necesarios para rebentar ese packer.

Saludos

TrashAmbishion · 4 Septiembre 2013, 15:15 PM

Cita de: ||MadAntrax|| en 3 Septiembre 2013, 15:10 PM
Te recomiendo que empieces por aquí:

OllyDbg - ExeCryptor Edition
http://tuts4you.com/download.php?view.553

Es una modificación de OllyDbg 1.10 especializada en ejecutable con EXE Cryptor, tiene la config, plugins y script's necesarios para rebentar ese packer.

Saludos

Gracias bro,

Tienes otras modificaciones para los otros Packers como Aspack, ACprotect, Pe en fin...

PD: Cuando vi la cantidad de Plugins que trae pense que iba a crackear el windows

Thx again..

Mad Antrax · 4 Septiembre 2013, 15:22 PM

jajaja

el script para EXE Cryptor que tengo es el siguiente:

Código (asm) [Seleccionar]

//Execryptor 2.x IAT rebuilder by KaGra v1.1

//This script may not resolve all pointers,or may resolve a few wrong...Fix them manually then;)
//THE VALUE OF thersa IS CRUCIAL FOR THE RIGHT API RESOLVING,SO IF U HAVE INVALIDS (CHECK WHERE THE EXE
//CRASHES) RUN THE SCRIPT AGAIN WITH A HIGHER OR LOWER LAVUE OF THAT value here (SEE where in script is that value)
//In case the app crashes,do those thersa changes and re-run or re-run from APIfailed+4 pointer,having
//saved the previous pointers.This that cannot be resolved,find it tracing,manually (or again change thersa)
//You can also play with IATstart and IATend values,are what their name say...
//This script can fix all or the most of them ;)...EnJoY
//In zip is notepad packed,and the script succeeds in all IAT APIs :)
//No need to be at OEP,and you should not be.It may not work at OEP...but i assume easier to find
//a place not at OEP.Just run the exe and bp on code section...u should land somewhere in the code ;)
//Then the script rulez...
//So,changing a little bit the script,can resolva all pointerz ;)




//only the rets,standard hard-coded tracer

var IATstart
var IATend
var temp
var size
var temp2
var size2
var temp3
var temp4
var temp5
var thersa

mov thersa,10  	

mov temp5,esp

mov IATstart,004CE000 
mov IATend,004CE824


again:

mov esp,temp5


mov temp2,[IATstart]

cmp temp2,00000000
je here			//in case of zeros,somewhere is a bug...
cmp temp2,50000000
ja here			//in case that the IAT has a valid pointer :) 

mov eip,temp2

mov [esp],eip


exec
ret
ende



sub esp,4

BPHWS esp,"r"
mov temp2,esp
add esp,4

esto

check:


BPHWC temp2

mov temp3,eip
gn temp3
cmp $RESULT_2,0
je checkF7

ok:

mov temp2,eip
mov [IATstart],temp2 	// found!!
add IATstart,4
cmp IATstart,IATend
je endit
sub IATstart,4

here:


add IATstart,4
cmp IATstart,IATend
je endit

jmp again



notfound:
BPHWS temp2,"r"
esto
jmp check



checkF7:

sti
mov temp3,eip
gn temp3
cmp $RESULT_2,0
jne ok
dec thersa
cmp thersa,0
jne checkF7

mov thersa,10 //for next time


jmp notfound



endit:
ret

De todas formas, siempre y cuando tengas tiempo, sería bueno que uses éste ejemplo para aprender a desempacar manualmente ésta protección. Es como realmente se aprende. Si quieres más modificaciones de Olly para otros packers...

http://tuts4you.com/download.php?list.4

TrashAmbishion · 4 Septiembre 2013, 23:07 PM

Holas de nuevo,

Bueno me dio por llegarme tuts4you.com gracias a ManDtrax y encontre esto:

http://forum.tuts4you.com/topic/31641-execryptor-basic-unpacker-10/?hl=execryptor

Siguiendo los pasos de ese tutorial, despues de dar el 2do Resume el Script termina, nose porque me parece que este programa no le pusieron muchas protecciones, nada mas que el Anti-Trace alguien pudo hacer algo...

PD: Despues de pasarle el Script supongo tengo que Dumpear y corregir los Invalid, verad? corriganme... bye

Salu2

Flamer · 4 Septiembre 2013, 23:48 PM

Citar
PD: Despues de pasarle el Script supongo
tengo que Dumpear y corregir los Invalid,
verad? corriganme... bye
Salu2

si te lleba al OEP es dumpear y reparar la IAT y las apis de la IAT invalidas

saludos flamer y mensage privado

TrashAmbishion · 4 Septiembre 2013, 23:52 PM

Cita de: Flamer en 4 Septiembre 2013, 23:48 PM
si te lleba al OEP es dumpear y reparar la IAT y las apis de la IAT invalidas

saludos flamer y mensage privado

Lo mirare con mas calma en la casa, pero estoy haciendo lo mismo que en ese tutorial y no me resulta...

Que es lo que hace el Anti-Trace que no me deje debuguearlo normalmente...??

apuromafo CLS · 5 Septiembre 2013, 21:05 PM

http://www.ricardonarvaja.info/WEB/buscador.php "execyptor"

hay un super compendio de evolution, en tuts4you hay tutoriales de Sunbeam, kioresk, LCF todos hablan temas diversos

evolution: como desempacar y en parte reconstruir
Sunbeam: sobre las sdk, reconstruir codigo y quitar la máquina virtual en ciertos execryptor
LCF: formas de desempacar genéricas, video tutoriales y mas.

yo: he visto muchos execryptor, algunos son más dificiles que otros, el antitrace y las sdk son formas de evitar tracear o sacar información sensible o importante, pero quien realmente le interesa registrar un programa con execryptor, pierde muchisimo tiempo. Ejemplo CANU
no es algo que algun novato o nuevo pueda hacer a la brevedad

herramientas sugeridas para cualquier execryptor:
un ollydbg para execryptor edition,
script que ayuden a encontrar el oep (virtual) o el oep real:
script para quitar la VM, o usar tools otorgadas en el mega compendio de evolution
reconocer el check de CRC según versión (método enseñado por kioresk)
reconstruir código (enseñado por sunbeam, y otros)
unpacker por RSI (mejor en su especie) para encontrar el oep
o bien inlinearlo (método por sunbeam entre otros autores, usando la técnica de RSI o teams privados)

saludos Cordiales, Apuromafo
pd:enviarlo para mi sería perder muchisimo tiempo

algún crackme para conocer execryptor
http://crackmes.de/users/relayer/execryptor_official_crackme/
pd: el oep real de ese crackme es 44301C , en la solución inglesa de kao fue reconstruido y explicado bastantes cosas importantes, otras importantes son de haggar en versiones anteriores, y de otros autores

Insisto, este tema de execryptor da para mucho tiempo, tendrás que terminar las teorías numeradas (en las últimas ricardo narvaja revisa execryptor)