packer fake ninja v2.0?

<housedir> · 26 Enero 2010, 21:50 PM

buenas pss veran tengo un programita el cual esta protegido por el pack fake ninja 2.0 muy poco conocido a mi parecer, e estado buscando como desempaquetarlo y he encontrado un tuto en ingles q dice como hacerlo, el problema es q la explicacion que sale en ese tuto no se parece nada a mi caso, porq en el tuto el Entry Point a el le sale una llamada osea un CALL luego coloca un breakpoint en el primer retrn que le sale y de hay salta con F7 a PUSH EBP y lo que hace es modificar con el ollydump la llamada hacia el PUSH EBP, en mi caso es extraño porq mi Entry point es de una ves el PUSH EBP, y nose cual llamada usar, la verdad si me pudieran ayudar se los agradeceria soy algo novato en este tema pero me gusta aprender, use el RDG Packer Detector y me dijo q estaba protegido por ese pack y de paso me dijo que tenia capacidad de agregar signaturas falsas...

muchas gracias

Mintaka · 27 Enero 2010, 00:54 AM

Prueba con otro detector para estar seguro de que es ese packer.
Puedes usar este otro si quieres:

http://www.exeinfo.xwp.pl/

Suerte,

Mintaka

<housedir> · 27 Enero 2010, 06:30 AM

Mintaka, gracias por tu respuesta, pss veras ya yo habia probado con el exeinfo y esto es lo q me lanza: Not packed , try disassemble OllyDbg ( www.ollydbg.de ) or WD32dsm89.exe ( www.exetools.com/disassemblers.htm )... saludos, si alguien esta interesado en analizar el programa avisenme por aqui para subirlo..

ThunderCls · 28 Enero 2010, 16:22 PM

Cita de: <housedir> en 26 Enero 2010, 21:50 PM
..., en mi caso es extraño porq mi Entry point es de una ves el PUSH EBP, ... use el RDG Packer Detector y me dijo q estaba protegido por ese pack y de paso me dijo que tenia capacidad de agregar signaturas falsas...

muchas gracias

Bueno, pues no soy experto en packers, pero si tu EP es un PUSH EBP, le pasastes el ExeInfoPe y te dice que nada de nada y ademas el RDG te dice algo de signaturas falsas....pues me voy por el criterio del RDG. Lo mas probable es que solo tengas una signatura falsa en tu exe y nada de fake ninja. No sé...que alguien me corrija si estoy equivocado....
sera un delphi??? $:-\$

<housedir> · 3 Febrero 2010, 19:27 PM

si si es un delphi, ok hermano gracias por tu respuesta, ahora una progunta, como ago para saber entonces como esta protegido

, porq de q lo esta lo esta, pero ni idea de que proteccion tiene entonces

ThunderCls · 3 Febrero 2010, 21:51 PM

cuando dices "protegido" te refieres a algun packer???...porque estas tan seguro???

como dije anteriormente no soy experto en packers, pero si tu EP == OEP, pues se me da que no tienes packer en tu exe. De todas formas intenta lo siguiente:

1- Revisa los nombres de las secciones de tu ejecutable (si ves alguna sección que no deberia estar alli...bueno es un indicio de packer o algo asi)
2- Carga tu ejecutable en el Olly y correlo con F9. Luego detenlo e intenta hacer algun cambio en la sección code del mismo. Si tu aplicacion esta empacada no te dejara guardar los cambios en el ejecutable al no encontrar los bytes en disco, por el contrario si lo guarda sin problemas estas libre de packer o algo parecido.

Solo son algunas ideas de un newbie en lo que a packers se refiere...si alguien mas entendido en el tema quiere opinar...pues adelante

PD: Chequea este link ademas

http://www.woodmann.com/collaborative/tools/index.php/Category:Exe_Analyzers
saludos

tincopasan · 8 Febrero 2010, 06:20 AM

una forma de saber si está protegido es mirar en el memory map del olly en la sección code si el oep (o ep) estan en esa sección, los packers tienen la costumbre de alojar el ep en otra dirección por lo gral