Mensajes

Creo que aun no tienes conocimiento acerca de esto, la versión que yo te mande es una para mortales, como dice Mafo, aun queda la visualización de CISC RISC, que es otro mundo, es muy muy difícil, tienes que pasar algún tiempo aún para que lo puedas intentar.

Saludos,
Nox.

hace tiempo hice un unpack para themida, puede que te ayude:

http://www.noxsoft.net/2012/03/analisis-de-protecciones-unpacking-themida-v2-1-8/

o

http://ricardonarvaja.info/WEB/CONCURSOS%202012/CONCURSO%202/Solu%20Unpacking%20UnpackMe%20%5BThemida%20v2.1.8%5D%20%5BDelphi%5D%20%2B%20%5BScript%5D%20por%20Nox%20.rar

Son los mismos.

También en el buscador de Ricardo puedes poner "Themida" sin las comillas, hay algo de info al respecto.

http://ricardonarvaja.info/WEB/buscador.php


Solo recuerda que Themida no es algo que puedas desempacar en un 2x3 requiere cierto nivel de conocimiento.

Saludos,
Nox.

La manera más clásica es usar un algoritmo de comprobación de integridad por ejemplo CRC, si ha cambiado algún byte de la sección código por ejemplo, es decir si se ha seteado un soft breakpoint, será detectado porque las operaciones del algoritmo darán otro resultado.

Este tipo también puede servir para evitar los BPM... si los tomas en cuenta los permisos de las páginas y/o secciones en las operaciones del algoritmo.

Una forma de evitar los soft breakpoints por ejemplo en las apis, es emular parcial o completamente, así cuando se setee un soft breakpoint, nunca parará.

El límite es tu imaginación.

Saludos,
Nox.

Podrías empezar por acá:
http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html

pd: Me suena tu nick... portalxd?

Nox.

El packer crea secciones virtuales para hacer sus cosillas, lo que te mencionaba es poner un breakpoint en esa api, prueba también con GlobalAlloc o LocalAlloc, igual puedes ir a las nativas osea las de la ntdll que terminan en el mismo por si tienes problemas que pare .

Saludos,
Nox.

Más me parece lugares que ha allocado el packer, fíjate en que momento crea las secciones virtuales con Bp VirtualAlloc o VirtualAllocEx, aunque siempre puedes ir a las nativas por si las caiguas xD

Saludos,
Nox.

Eso quiere decir que es una variable local, es más fácil recordar LOCAL.X qué EBP-Y, siendo que Y puede ser cualquier número aveces es tedioso.

Los dos serían lo "mismo", es decir LOCAL.1 sería igual a EBP-4, LOCAL.2 sería igual a EBP-8, así consecutivamente dependiendo del caso.

Entonces LOCAL.X es sólo una etiqueta para ayudar al análisis, solo eso, si apretas la barra espaciadora en esa instrucción verás el EBP-Y real.

En OllyDBG 1.10 también se puede configurar con LOCAL.X, yo lo tengo configurado así por las razones ya mencionadas, igual en el OllyDBG 2.X si no me equivoco se puede quita esa opción para que lo veas como EBP-Y.

Saludos,
Nox.

[principal]

En un archivo *.inc declaro los prototipos (si deseas en el principal)

Ejemplo:
xChangeValue PROTO :WORD, :BYTE
TopXY PROTO   :DWORD,:DWORD

Para qué hacer esto?
Para poder usar la directiva invoke, solo de esa manera puedo usar

invoke TopXY dwParam1, dwParam2

En un *.asm aparte del principal puedes hacer esto
.data
[...]
.code
TopXY proc wDim:DWORD, sDim:DWORD

    shr sDim, 1      ; divide screen dimension by 2
    shr wDim, 1      ; divide window dimension by 2
    mov eax, wDim    ; copy window dimension into eax
    sub sDim, eax    ; sub half win dimension from half screen dimension

    return sDim

TopXY endp

Luego en un el *.inc principal al final lo puedes incluir:

;#### Inserted modules ####

        include xtra.asm
   include SplashScreen.asm
   include ChanceCell.asm

y listo en el main, lo puedes llamar normalmente sin problemas

Nox.

Muy Bueno! yo he tocado dropers de esos que copian en temporales, ejecutan pasandole un parámetro, hay una condicional al principio si es 0 hace lo que mencioné si no descargan al malware.

Nox.

Gracias por compartir

Saludos,
Nox.