Mensajes

si ya conozco la pagina de ricardo, hice el curso de el, de introduccion a olly, y algunos del curso nuevo que me enseñaron bastante, los tutoriales de como hacer unpacking a themida van al grano, y no explican el proceso, solo te dicen como hacerlo, yo quiero saber las tecnicas, que conocimientos tenes que tener para poder solo.

Coloco lo mismo que esta en el thread similar:

realmente quieres desempacarlo? tardarás posiblemente 1 mes en depurarlo si aun no sabes mucho

los script automaticos, incluyen experiencia de muchos temas, si eres capaz de leer las instrucciones y ver como funciona deberias saber como lo hace

respecto a tutoriales yendo al grano..si hay de ncr, de snat y uno mio con snat

sea cual sea el caso themida es un hueso duro de roer y no es algo que se pueda decir  oye desempacamelo, aunque sea por 100000 dolares, no va en eso

ademas themida tiene 2 tipos de máquina virtual cisc risc lo que hace que sea aun mas complejo sacar cosas genericas




digamos una idea basica de unpacking

1) hay algunos thread con antidebug, al terminar llegas al oep

2) hay apis que estan emuladas, apis que estan desordenadas, apis que estan protegidas por vm, apis normales que puedes recuperar aveces en puntos mágicos...

3) al dumpear tienes que agrgar varios heap, lo que hace que si estan mal distribuidos en el nuevo exe..tendras que cargarlo en el mismo modulo o bien buscar alguna forma de parchar para que lo acepte

4) a pesar de desempacar y agregar antidump, logras tener el programa corriendo, nada asegura que no hubo algun thread que ha dejado dañado alguna porcion del programa, que trabaje esperando un evento que posiblemente no ocurrirá, deberas descifrar la porcion y dejarla descifrada...

5) a pesar de desempacar, descifrar, parchar reparar, nadie te asegura que el programa no verifique nuevos crc, osea ademas tienes que reparar pequeños algoritmos que validen de la misma forma...



luego de eso tienes un programa desempacado y funcional, antes de eso, tienes que saber

las apis que antes eran  jmp dword 4010000 ahora son del tipo jmp lugar de themida

y posiblemente nunca tienees tu iat original, osea debes re-construir...
coloca buscar "themida"

http://ricardonarvaja.info/WEB/buscador.php

y posiblemente tengas mas informacion

saludos cordiales
Apuromafo

pd: es mas facil intentar inlinear con dup, sabiendo que parcharás, a desempacarlo

Cierro el tema por estar duplicado.

Hola!

Mirate este link: https://github.com/RUB-NDS/PRET

Saludos!

Este tema ya se ha tratado: https://foro.elhacker.net/foro_libre/pensamiento_lateral_7_acertijos_dificiles-t441463.0.html

Saludos!

al darle click al link muestra el siguiente mensaje:

No se puede acceder a este sitio web

No se ha podido encontrar la dirección DNS del servidor de ricardonarvaja.
DNS_PROBE_FINISHED_NXDOMAIN

Los link son

Código [Seleccionar] Expandir


www.ricardonarvaja.info.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1601-1700/1616-Descompilar%20Refox%20por%20Krc-4U.rar

www.ricardonarvaja.info.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1601-1700/1617-Refox%20branded%20files%20(level%20II%20or%20III)%20unpacking%20(decrypting)%20por%20Krc-4U.rar


Ten en cuenta que la web está marcada como sitio inseguro, pero es un falso positivo.

Saludos!

Entonces...

¿El padre de la computacion fue el primer mono que cogió un palo para tirar la manzana?

Del palo para tirar manzanas al microprocesador de grafeno... 

Saludos!

TeamViewer Host para Raspberry Pi

TeamViewer Host para Raspberry Pi es un servicio de sistema que permite el acceso no supervisado a dispositivos Raspberry Pi para que pueda llevarse a cabo su mantenimiento, control y administración con nuestra solución líder de la industria TeamViewer, conocida por millones de usuarios de todo el mundo.

Descarga Host: https://download.teamviewer.com/download/linux/version_11x/teamviewer-host_armhf.deb

Saludos!

En casa uso éste, pero con distribución en español: http://accessories.us.dell.com/sna/productdetail.aspx?c=us&l=en&s=gen&sku=331-9597

En el trabajo uno de la misma marca, pero un poquito mas antiguo (y sin ñ) 

Saludos!

Hola!

Puedes comenzar mirando el FAQ del subforo (link en mi firma).

Saludos!

Hola!

Si te bajaste la tool desde aquí: https://www.nomoreransom.org/decryption-tools.html

Entonces deberías haber leído ésto: https://www.nomoreransom.org/uploads/RannohDecryptor_how-to_guide.pdf

Sino, léelo igual. Es lo tool de kaspersky y, según dice la web, el pdf explica cómo usarla.

Saludos!

Es un error del programa. Es una excepción no controlada por el mismo. Por eso crashea.

Saludos!