UPX scrambler y obsidium??

Iniciado por <housedir>, 13 Noviembre 2009, 07:53 AM

0 Miembros y 1 Visitante están viendo este tema.

<housedir>

buenas a todos, pss veran e conseguido un programa un poco particular, segun el RGD packer cuando selecciono metodo rapido me dice que el programa esta protegido con UPX eucaristico (scrambler) el q no tengo ni idea de que se trata ni como descomprimirlo ya que el metodo upx -d *programa, no me funciona, luego cuando selecciono multideteccion en el RGD packer me detecta que esta protegido con un packer llamado obsidium al cual le e conseguido un script para el olly q a segun lo desempaca, pero primero tengo q salir del UPX scrambler que no tengo ni idea de q es, si alguien sabe y me podria decir de donde puedo sacar info sobre ese upx se lo agradeceria, saludos
Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...

WHK

Utiliza el ida pro, hay un plugin para upx que los desempaca.

MCKSys Argentina

Hola!

También puedes saltearlo con Olly, usando el método del PUSHAD-POPAD. El UPX scrambler, es en teoría, lo mismo que UPX, pero modificado.

Con el método anterior, el OEP queda muy cerca. Sólo debes tracear un poco mas, hasta encontrar el "JMP largo".

Saludos!


MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


<housedir>

muchas gracias a los 2 por sus respuestas, primero me voy a guiar por la opcion de WHK que es la q veo mas facil, si me pudieras decir donde has visto el plugin o donde lo encuentro, porq e estado buscando plugins de upx para el ida pro y nada, si no lo consigo intentare entonces con el metodo pushad-popad... saludos a los 2
Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...

<housedir>

buenas a todos de nuevo, pss veran e conseguido una aplicacion llamada PE Explorer el cual se encarga de desempaquetar la mayoria de las variantes del UPX de la forma mas facil que puede haber solo abres el programa y el lo desempaca automaticamente, luego de desempaquetarlo lo paso de nuevo por el RGD packer y BINGO! O.o ya no tengo el upx pero ahora me detecta una signatura o no se ni lo que es llamada "Lockless Intro Pack" el cual no e conseguido nada de info sobre el y quisiera saber si alguno de ustedes a oido hablar de el . de antemano gracias
Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...

MCKSys Argentina

Hola!

La verdad, nunca me enfrenté a ese packer (y tampoco escuché de él :()

Lo que te puedo sugerir, son las teorías 312, 731 y 887 de la web de Ricardo Narvaja. Estas tratan el tema de enfrentar packers desconocidos.
Las teorías están aqui:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/

Espero te sean útiles  :D

Saludos!


MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


<housedir>

si bueno y es q hasta en google uno pone ese nombre y no sale casi nada de info es algo extraño, y lo peor es q me lo detecto despues que lo desempaquete del upx scrambler, lo que falta es que ahora desempaque este y me salga otra sorpresita por hay O.o ya parece un troyano cuando lo tratan de hacer indetectable, full de parcker XD. saludos
Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...

tena

Bueno ya lo vi, y solo es un simple upx, con el metodo pushad/popad lo sacas de un plumaso, dumpeas con LordPe y reconstruis la tabla de importaciones con ImportRec..
poniendo loas datos correctamente, oep-imagenbase, inicio iat-imgBase y size de la iat.

Ya solo queda un delphi

slds

<housedir>

oye tena como q solo un UPX? tu lo lograste desempaquetar y abrir con el olly sin problemas?, porq yo logre quitarle el upx scrambler que tenia pero siguio proteguido con el lockless intro pack y el obsadium 1.2.
Titulo: Padre nuestro
Padre Nuestro que estás en www.cielo.com
Santificado sea tu server, venga a nosotros tu shareware
Hágase tu downloading así en el http como en el ftp
Danos hoy nuestro surfing de cada día,
Perdona nuestros bugs
como nosotros también perdonamos a Microsoft.
No nos dejes caer en una Mac y líbranos de todo worm.
Enter...