UPX scrambler y obsidium??

<housedir> · 13 Noviembre 2009, 07:53 AM

buenas a todos, pss veran e conseguido un programa un poco particular, segun el RGD packer cuando selecciono metodo rapido me dice que el programa esta protegido con UPX eucaristico (scrambler) el q no tengo ni idea de que se trata ni como descomprimirlo ya que el metodo upx -d *programa, no me funciona, luego cuando selecciono multideteccion en el RGD packer me detecta que esta protegido con un packer llamado obsidium al cual le e conseguido un script para el olly q a segun lo desempaca, pero primero tengo q salir del UPX scrambler que no tengo ni idea de q es, si alguien sabe y me podria decir de donde puedo sacar info sobre ese upx se lo agradeceria, saludos

WHK · 13 Noviembre 2009, 10:13 AM

Utiliza el ida pro, hay un plugin para upx que los desempaca.

MCKSys Argentina · 13 Noviembre 2009, 14:59 PM

Hola!

También puedes saltearlo con Olly, usando el método del PUSHAD-POPAD. El UPX scrambler, es en teoría, lo mismo que UPX, pero modificado.

Con el método anterior, el OEP queda muy cerca. Sólo debes tracear un poco mas, hasta encontrar el "JMP largo".

Saludos!

<housedir> · 13 Noviembre 2009, 19:08 PM

muchas gracias a los 2 por sus respuestas, primero me voy a guiar por la opcion de WHK que es la q veo mas facil, si me pudieras decir donde has visto el plugin o donde lo encuentro, porq e estado buscando plugins de upx para el ida pro y nada, si no lo consigo intentare entonces con el metodo pushad-popad... saludos a los 2

<housedir> · 14 Noviembre 2009, 02:11 AM

buenas a todos de nuevo, pss veran e conseguido una aplicacion llamada PE Explorer el cual se encarga de desempaquetar la mayoria de las variantes del UPX de la forma mas facil que puede haber solo abres el programa y el lo desempaca automaticamente, luego de desempaquetarlo lo paso de nuevo por el RGD packer y BINGO! O.o ya no tengo el upx pero ahora me detecta una signatura o no se ni lo que es llamada "Lockless Intro Pack" el cual no e conseguido nada de info sobre el y quisiera saber si alguno de ustedes a oido hablar de el . de antemano gracias

MCKSys Argentina · 14 Noviembre 2009, 04:03 AM

Hola!

La verdad, nunca me enfrenté a ese packer (y tampoco escuché de él

)

Lo que te puedo sugerir, son las teorías 312, 731 y 887 de la web de Ricardo Narvaja. Estas tratan el tema de enfrentar packers desconocidos.
Las teorías están aqui:

Código [Seleccionar]

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/

Espero te sean útiles

Saludos!

<housedir> · 14 Noviembre 2009, 05:34 AM

si bueno y es q hasta en google uno pone ese nombre y no sale casi nada de info es algo extraño, y lo peor es q me lo detecto despues que lo desempaquete del upx scrambler, lo que falta es que ahora desempaque este y me salga otra sorpresita por hay O.o ya parece un troyano cuando lo tratan de hacer indetectable, full de parcker XD. saludos

tena · 15 Noviembre 2009, 17:29 PM

Bueno ya lo vi, y solo es un simple upx, con el metodo pushad/popad lo sacas de un plumaso, dumpeas con LordPe y reconstruis la tabla de importaciones con ImportRec..
poniendo loas datos correctamente, oep-imagenbase, inicio iat-imgBase y size de la iat.

Ya solo queda un delphi

slds

<housedir> · 16 Noviembre 2009, 02:08 AM

oye tena como q solo un UPX? tu lo lograste desempaquetar y abrir con el olly sin problemas?, porq yo logre quitarle el upx scrambler que tenia pero siguio proteguido con el lockless intro pack y el obsadium 1.2.