Unpack Pelocknt 2.01 (Heuristic: 1,25%)

Iniciado por User32Error, 28 Abril 2007, 18:46 PM

0 Miembros y 2 Visitantes están viendo este tema.

User32Error

Buenas, me he encontrado con un fichero que se encuentra comprimido con el compresor del titulo (al menos eso dice File Inspector XL) y por mas que busco no logro encontrar ningun programa que desempaque esta proteccion. He probado ProcDump pero no se encuentra en la lista. He buscado scripts y no localizo ninguno para añadirlo al Procdump. Tambien he descargado algunos genericos y otros especificos para ese compresor sin lograr desempacarlo con ninguno. La verdad es que llevo mucho tiempo sin practicar ingenieria inversa (desde que Karpoff cerro  :-() y ahora que me veo en la necesidad no logro hacer mucho con este pequeño programa.
Tiene una proteccion por dongle Hasp 4 (que la tengo, ya que el programa es original). Asi que viendo que el enemigo es duro de roer en vez de atacarle a el descomprimo el ejecutable que realiza las llamadas a la dongle y analizo haber si los programadores me lo han puesto facil. Pero por mas que quiero desempacar el ejecutable no logro encontrar una solucion.
Espero que alguien me pueda ayudar a desempacarlo, es lo unico que pido. :rolleyes:
Saludos a todos/as.

tena

El File Inspector ya es algo viejito. Ahora se usa mucho el PeiD o el RDG Packer Detector.

RDG Packer:
http://www.storage2.ricardonarvaja.com.ar/web/OTROS/HERRAMIENTAS/Q-R-S-T-U/RDG%20Packer%20Detector%20v0.6.5%20Beta.rar

Aunque no se si sirva para esa verison de pelock te paso el link lo mismo de un unpacker.

http://www.storage2.ricardonarvaja.com.ar/web/OTROS/HERRAMIENTAS/L-M-N-O-P/peunlock%20v0.7%20%5bug2002%5d.zip

Acordate de hacer una copia del ejecutable, no vaya a ser que te lo sobreescriba.

suerte

User32Error

Gracias por tu respuesta, me ha sido muy util. Me ha dicho que esta hecho con Visual Basic y C# asi que ya tengo buena informacion para comenzar a atacar. Lo que me extraña es que ollydbg no inicia el programa. Lo cargo y cuando empiezo a pulsar F7 o F8 ni se inmuta ni usando Run. Tendre que buscar otro debugger para el xp, aunque he probado unos cuantos y ninguno me funciona, Trw2000 por ejemplo no sirve y el sice tendre que pelearme un monton con el windorrio xp. Le hechare paciencia. Thanks.

byebye

es raro que no te marche ni con run, has mirado si se quedase parado por alguna excepcion?

User32Error

Pues, la verdad, si, era por una excepcion. Uno esta perdiendo las pocas facultades que tenia  :D
De todos modos esta noche me instalo el sice en el xp con un tutorial que hay en este mismo foro, lo prefiero antes que cualquier debugger. Gracias -

karmany

#5
NO te instales el Sice..
El mejor debugger en ring3 es el OllyDBG para mi gusto.

Además si lees esto de principio a fin te olvidarás seguro del Sice:
TUTORIALES OLLYDBG


PD. Otras personas tal vez prefieran otros debuggers pero el link que te he puesto tiene muchísima información de OllyDBG...y el Sice ya casi nadie lo utiliza...
Otro muy utilizado es el IDAPro.

Un saludo...

User32Error

Gracias Karmany. Pues si, la verdad es que el olly esta bastante bien. Yo empece en esto gracias a Karpoff y en aquellos momentos casi todo se hacia con sice, de modo que ollydbg no tenia muchos seguidores como ahora, cualquier tutorial estaba redactado para hacerse con el. Despues encontre un debugger que para mi ha sido mi favorito, aunque ultimamente no me acordaba de el, se llamaba TRW2000, y no necesitaba instalacion ni nada. Era muy parecido al sice y super comodo, pero este no hay modo humano de hacerlo correr con Xp. Aquel debugger ha sido siempre mi favorito, no puse breakspoints hmecpy en el jajajaja :D (creo que era asi). Saludos.