Sabéis que es esto? SkD Undetectabler 2.0(BETA) - SOLUCIONADO

Iniciado por doitunkboo, 12 Diciembre 2009, 16:16 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

doitunkboo

12 Diciembre 2009, 16:16 PM Ultima modificación: 15 Diciembre 2009, 18:15 PM por karmany
Hola, he pasado un ejecutable por el RDG packer detector y me sale esto, SkD Undetecttabler 2.0 (BETA) y no tengo ni idea de que es, de hecho es la primera vez que lo veo en un ejecutable.

La cuestión es que tengo un programa parcheado, pero que cuando realizas algunas operaciones con él, el programa transcurridos unos segundos se cierra sin devolver ningún mensaje de error.
También lo he pasado por el PEiD pero no detecta lo mismo, al menos no se si lo que detecta tiene relación con eso, el PEid me detecta esto...

ADLER32 :: 000A6A4F :: 004A764F
   The reference is above.
BASE64 table :: 000A9A64 :: 004AA664
   Referenced at 004AA480
   Referenced at 004AA4C1
   Referenced at 004AA503
   Referenced at 004AA535
List of small primes [long] :: 000E4D44 :: 004E5944
   Referenced at 004DA9EE
ZLIB deflate [long] :: 000E43C0 :: 004E4FC0
   Referenced at 004A70E0
   Referenced at 004A7300

Mi pregunta es, sabéis donde puede estar el problema? porque el programa esta bien parcheado y funciona bien salvo que se cierra de repente después de un rato.

Gracias y saludos.

karmany

#1
12 Diciembre 2009, 17:29 PM
Comprueba primero si el programa original también se cierra pasado un tiempo. A ver si es un bug.

SkD Undetectabler es un crypter. Esto es lo que dice su autor:
"SkD Undetectabler is a crypter designed to scramble/crypt the selected file. Once the newly generated file is ran, its loaded into memory by default. There are other options, such as running the file inside Explorer.exe memory or the user's default browser (eg, FireFox, Internet Explorer). The generated file can also be packed again by another packer or compressor (tested with UPX)."

doitunkboo

#2
12 Diciembre 2009, 20:01 PM Ultima modificación: 12 Diciembre 2009, 20:03 PM por doitunkboo
Hola karmany, lo único que te puedo asegurar es que si lo parcheo cargado en Ollydbg el programa no se cierra, pero en cuanto lo modificas y guardas los cambios ya no funciona bien, por eso deduzco que tiene alguna especie de chequeo, ya sea de crc o cualquier otro.

Que me sugieres? Esta hecho en Delphi y es el último escollo que me queda, ya que lo tengo bien en teoría bien parcheado.

Un saludo

MCKSys Argentina

#3
13 Diciembre 2009, 03:40 AM
Hola!

Puedes probar poniendole un BP a CreateFileA. Normalmente, se usa esta API (con ReadFile) para abrir el EXE y verificar que el contenido del mismo no haya sido modificado. Podrías hacer un inline para modificar el parámetro que el EXE le pasa a la API y redireccionarlo al EXE original (Por ej. si copias el EXE original, pero con la extension .ext, en el parametro, sólo debes cambiar la e final por una t)

Saludos!


MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

doitunkboo

#4
13 Diciembre 2009, 15:08 PM
Gracias MCKSys voy a probarlo y os cuento...

Un saludo

doitunkboo

#5
14 Diciembre 2009, 21:59 PM
Hola MCKSys, gracias por tú sugerencia, efectivamente era eso y ya lo he podido solucionar.

PD: Si no te importa te añado a los agradecimientos en el tuto que he hecho.

Saludos

MCKSys Argentina

#6
14 Diciembre 2009, 23:24 PM
Pues, Gracias!  :)

Fíjate que también estoy en CLS...  ;) (Bah, en realidad, vengo de ahi...  :xD)

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro
Imprimir
Ir Arriba Páginas1
Acciones del Usuario