¿Que packer/protector es este?

Iniciado por josue9243, 7 Abril 2018, 21:32 PM

0 Miembros y 2 Visitantes están viendo este tema.

josue9243

Hola, queria preguntar si alguien conoce cual es el protector o packer de este archivo:

¿Alguna idea para desempaquetar esto o que packer contiene realmente?
Ningun tipo de script me anduvo de EXECryptor.
-> Es una DLL por las dudas

(El tema es que tiene diferentes sections) (Cosa que el comun no lo tiene)


Cheating Death v4.33.4 - (cs 1.6)

RDG Packer Detector v0.7.6 ->
Citar
<<Multiple Protections>>
======================
EXECryptor Deteccion Heuristica
EXECryptor (Compress Code & Data)
EXECryptor v2.1.15
EXECryptor v2.2.x - v2.4.x

PROTECTiON iD ->
CitarScanning -> E:\aaaCheating-Death\Cheating-Death\4.33.4\cd.dll
File Compression State : 0 (Not Compressed)
File Type : 32-Bit Dll (Subsystem : Win GUI / 2), Size : 425984 (068000h) Byte(s) | Machine: 0x14C (I386)
Compilation TimeStamp : 0x43988949 -> Thu 08th Dec 2005 19:28:09 (GMT)
[TimeStamp] 0x43988949 -> Thu 08th Dec 2005 19:28:09 (GMT) | PE Header | - | Offset: 0x00000068 | VA: 0x10000068 | -
[!] Executable uses TLS callbacks (1 total... 0 invalid addresses)
[LoadConfig] CodeIntegrity -> Flags 0xA3F0 | Catalog 0x46 (70) | Catalog Offset 0x2000001 | Reserved 0x46A4A0
[LoadConfig] GuardAddressTakenIatEntryTable 0x8000011 | Count 0x46A558 (4629848)
[LoadConfig] GuardLongJumpTargetTable 0x8000001 | Count 0x46A5F8 (4630008)
[LoadConfig] HybridMetadataPointer 0x8000011 | DynamicValueRelocTable 0x46A66C
[LoadConfig] FailFastIndirectProc 0x8000011 | FailFastPointer 0x46C360
[LoadConfig] UnknownZero1 0x8000011
[File Heuristics] -> Flag #1 : 00000000000000001100001000100011 (0x0000C223)
[Entrypoint Section Entropy] : 7.99 (section #5) "8rca826h" | Size : 0x66B28 (420648) byte(s)
[DllCharacteristics] -> Flag : (0x0000) -> NONE
[SectionCount] 7 (0x7) | ImageSize 0x11F000 (1175552) byte(s)
[ModuleReport] [IAT] Modules -> kernel32.dll | user32.dll
[!] EXE Cryptor v2.2.0 - v2.2.6 detected !
- Scan Took : 0.219 Second(s) [0000000DBh (219) tick(s)] [246 of 580 scan(s) done]

tincopasan

pues los dos análisis de signatura te dan "EXECryptor." que scripts no te funcionen no quiere decir que no lo sean, muchos scripts están incompletos o echos para otros , como así también lo que se necesita en ollydbg por ejemplo no siempre está bien configurado.Dudo que RDG Packer Detector v0.7.6  le erre en la detención.

apuromafo CLS

si fuera por vista de secciones mas detector, claramente eso es un execryptor, por otro lado, desde el depurador y la experiencia es donde se pueden desempacar muchos programas, execryptor no es para nada facil, asi que igual tendrias que usar tarde o temprano scripts de otros, (ollydbg+script)

el tema es que es un packer muy poco estudiado, siempre se usa sobre programas nativos, asi que sirve ollydbg, IDA, x64dbg

saludos Apuromafo

pd: a mi me llevo meses desempacar un execryptor, hice tutoriales mostrando al respecto, hay un unpacker de rsi, pero tampoco soluciona todo

BloodSharp

#3
Cita de: josue9243 en  7 Abril 2018, 21:32 PMHola, queria preguntar si alguien conoce cual es el protector o packer de este archivo:
(...)
Cheating Death v4.33.4 - (cs 1.6)
(...)

Sé que mi pregunta es un poco off-topic pero... ¿A esta altura vale la pena investigar un anticheat bastante flojo que lleva muerto hace años? Hay mejores que superan de manera contundente a este software que lleva, mínimo 10 años muerto, como EAC, ESEA, etc... Y que seguramente vale la pena analizarlos mucho más que CD.


B#



josue9243

#4
Esos A.C de ahora, son pabadas, simplemente drivers con x chequeos ya me los se, protegen varias cosas que son obvias.

El Cheating Death queria descompilarlo para tenerlo ahi, debido a X razónes.


Cita de: apuromafo en  9 Abril 2018, 03:02 AM
si fuera por vista de secciones mas detector, claramente eso es un execryptor, por otro lado, desde el depurador y la experiencia es donde se pueden desempacar muchos programas, execryptor no es para nada facil, asi que igual tendrias que usar tarde o temprano scripts de otros, (ollydbg+script)

el tema es que es un packer muy poco estudiado, siempre se usa sobre programas nativos, asi que sirve ollydbg, IDA, x64dbg

saludos Apuromafo

pd: a mi me llevo meses desempacar un execryptor, hice tutoriales mostrando al respecto, hay un unpacker de rsi, pero tampoco soluciona todo

jajajaja, ya te veo meses JAJAJA, que programa habra sido.

Igual no sé después veo el tutorial, en ida pro no se ve nada excepto el entrypoint con algunas cosas mas.

MOD: No hacer doble post. Usa el botón modificar.

apuromafo CLS

buscas en el sitio de ricardo (execryptor) y verás de lo que hablo

http://ricardonarvaja.info.info/WEB/buscador.php