No puedo ejecutar con OllyDBG

Iniciado por NuevoProg, 19 Septiembre 2011, 13:31 PM

0 Miembros y 2 Visitantes están viendo este tema.

tena


NuevoProg

Tena, que programa te lanza el mensaje de antidebug themida? es que los que yo usé no me lo dicen.

Por cierto, que es un VC?

NuevoProg

Pues he estado intentándolo abrir con un total de 17 variantes de OllyDBG y ninguna consigue abrirlo.

Estoy algo perplejo porque mis programas dicen que no está empacado pero Tena dice que es posible que sea Themida.

He intentado abrirlo con versiones de Olly configuradas para abrir este tipo de protecciones pero no funciona. Creo que para ser nuevo en esto me estoy metiendo con un programa demasiado protegido para mí, no?

Lo que pasa es que soy un cabezota y hasta que no lo abra no voy a parar, jeje.

Si alguno consigue abrirlo, me gustaría que me diera alguna pista de como lo consiguió.

De momento voy a seguir intentándolo. Esta vez voy a poner un breakpoint antes de que salte el mensaje, a ver si averiguo si es una protección propia de ellos.

Gracias a todos por interesaros por mí, (un pobre ignorante nuevo en esto).

Jejeje, un saludo.

NuevoProg

Bueno, siento escribir tantos posts en vez de editar los anteriores, pero es que al aportar cosas nuevas no quiero alargar mucho uno de los posts que pongo.

Veamos, he analizado el programa con RAMODBG y he utilizado el Plugin, API break plugin, poniendole un breakpoint a todos los MessageBox.

Esto lo hago porque es el programa el que me lanza lo del "Debugger detected", no? bueno no estoy seguro porque soy nuevo.

El caso es que se ha detenido en MessageBoxA y en una de esas veces he visto en el stack la susodicha frase ("A debugger has been found...."). Así que decidí seguirlo en el disassembler.

Me lleva a una dirección "1C8B9C8", pero cuando muevo cualquier parte del código, esa linea desaparece del disassembler.

Alguien sabe por qué desaparece de ahí?

Por cierto, el título de la ventana de dicho mensaje es "Themida". Esto es porque utiliza themida? o es simplemente para engañar al cracker?

Seguiré investigando más. Les prometo que la proxima vez edito este post, a no ser que alguien responda jejej.

Gracias a todos.

MCKSys Argentina

Si el packer es themida, entonces todos los BPs en Kernel, User y Advapi no te servirán.

Themida hace una copia de dichas DLLs en runtime y usa esas...
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


CITROMAN

Cita de: MCKSys Argentina en 20 Septiembre 2011, 16:37 PM
Si el packer es themida, entonces todos los BPs en Kernel, User y Advapi no te servirán.

Themida hace una copia de dichas DLLs en runtime y usa esas...
GROSO MCKSYS! ;-)

NuevoProg

Bueno voy a intentar pasar la protección pero me gustaría saber qué versión de Themida está utilizando este programa porque no soy capaz de averiguarlo. He utilizado Protection ID, PeID y el RGC Protector y no consigo sacar la versión con ninguno. Si alguien pudiera ayudarme a sacar la versión de Themida se lo agradecería.

PD: ¿Pensáis que me estoy obsesionando con algo demasiado difícil para mí?

Es que soy un poco cabezón y no me gusta un "No puedes" por parte del programa. Porque que no pueda crackearlo es una cosa pero que no pueda abrirlo, eso es como decirme que deje esto jejeje. Así que no pararé hasta poder ejecutarlo

PD2: No me vayan a desanimar eh?? que bastante tengo con mi pareja que cada vez que mira la pantalla me dice que deje eso xDD

Saludos