packer fake ninja v2.0?

Iniciado por <housedir>, 26 Enero 2010, 21:50 PM

0 Miembros y 1 Visitante están viendo este tema.

<housedir>

buenas pss veran tengo un programita el cual esta protegido por el pack fake ninja 2.0 muy poco conocido a mi parecer, e estado buscando como desempaquetarlo y he encontrado un tuto en ingles q dice como hacerlo, el problema es q la explicacion que sale en ese tuto no se parece nada a mi caso, porq en el tuto el Entry Point a el le sale una llamada osea un CALL luego coloca un breakpoint en el primer retrn que le sale y de hay salta con F7 a PUSH EBP y lo que hace es modificar con el ollydump la llamada hacia el PUSH EBP, en mi caso es extraño porq mi Entry point es de una ves el PUSH EBP, y nose cual llamada usar, la verdad si me pudieran ayudar se los agradeceria soy algo novato en este tema pero me gusta aprender, use el RDG Packer Detector y me dijo q estaba protegido por ese pack y de paso me dijo que tenia capacidad de agregar signaturas falsas...

muchas gracias
Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...

Mintaka

Prueba con otro detector para estar seguro de que es ese packer.
Puedes usar este otro si quieres:

http://www.exeinfo.xwp.pl/

Suerte,

Mintaka
Si lloras por no ver el Sol tus lágrimas no te dejarán ver las estrellas.(Tagore)

<housedir>

Mintaka, gracias por tu respuesta, pss veras ya yo habia probado con el exeinfo y esto es lo q me lanza: Not packed , try disassemble OllyDbg ( www.ollydbg.de ) or  WD32dsm89.exe ( www.exetools.com/disassemblers.htm )... saludos, si alguien esta interesado en analizar el programa avisenme por aqui para subirlo..
Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...

ThunderCls

Cita de: <housedir> en 26 Enero 2010, 21:50 PM
..., en mi caso es extraño porq mi Entry point es de una ves el PUSH EBP, ... use el RDG Packer Detector y me dijo q estaba protegido por ese pack y de paso me dijo que tenia capacidad de agregar signaturas falsas...

muchas gracias

Bueno, pues no soy experto en packers, pero si tu EP es un PUSH EBP, le pasastes el ExeInfoPe y te dice que nada de nada y ademas el RDG te dice algo de signaturas falsas....pues me voy por el criterio del RDG. Lo mas probable es que solo tengas una signatura falsa en tu exe y nada de fake ninja. No sé...que alguien me corrija si estoy equivocado....
sera un delphi???  :-\
-[ "...I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/

<housedir>

si si es un delphi, ok hermano gracias por tu respuesta, ahora una progunta, como ago para saber entonces como esta protegido  :huh:, porq de q lo esta lo esta, pero ni idea de que proteccion tiene entonces  :-(
Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...

ThunderCls

cuando dices "protegido" te refieres a algun packer???...porque estas tan seguro???  :huh:
como dije anteriormente no soy experto en packers, pero si tu EP == OEP, pues se me da que no tienes packer en tu exe. De todas formas intenta lo siguiente:

1- Revisa los nombres de las secciones de tu ejecutable (si ves alguna sección que no deberia estar alli...bueno es un indicio de packer o algo asi)
2- Carga tu ejecutable en el Olly y correlo con F9. Luego detenlo e intenta hacer algun cambio en la sección code del mismo. Si tu aplicacion esta empacada no te dejara guardar los cambios en el ejecutable al no encontrar los bytes en disco, por el contrario si lo guarda sin problemas estas libre de packer o algo parecido.

Solo son algunas ideas de un newbie en lo que a packers se refiere...si alguien mas entendido en el tema quiere opinar...pues adelante

PD: Chequea este link ademas

http://www.woodmann.com/collaborative/tools/index.php/Category:Exe_Analyzers
saludos
-[ "...I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/

tincopasan

una forma de saber si está protegido es mirar en el memory map del olly en la sección code si el oep (o ep) estan en esa sección, los packers tienen la costumbre de alojar el ep en otra dirección por lo gral