Mensajes

[ranux]

aa ok gracias, me pongo rapidisimo,

PD en otro post pusiste esto
Bueno ahi me fije con el script ese, y funciona perfectamente, tenes que copiar la dll a la carpeta del programa ese, y luego corres el scrypt en oly.

Lo intente acer, copiaba el arahcivo odbscrypt.dll en la carpeta del exe abria el odbgscrypt.dll con el olly y le doy a play, pero luego ya no se que acer :s

Buenas ranux,

Lo que deberías hacer si realmente quieres aprender es sobre todo, poner esfuerzo.

Si no estás dispuesto a poner la mínima dedicación entonces mi recomendación es que busques el crack por ahí y quites la limitación.

Un saludo.

se agradece la respuesta, pero excede mis alcances de manejo..

Pues a aprender poco a poco... .

Shaddy.

[ThePope]

amigos..tengo un ejecutable el cual esta comprimido con aplib...

http://www.ibsensoftware.com/files/aPLib-1.00.zip

esta utilidad..por lo q estuve leyendo en su ayuda, permite descomprimir cualquier ejecutable a traves de las lineas

size_t aP_depack( const void *source,
                  void *destination );

Decompresses the compressed data from source[] into destination[].

The destination[] buffer must be large enough to hold the decompressed data.

Parameters:
source - pointer to the compressed data.
destination - pointer to where the decompressed data should be stored.

Returns:
the length of the decompressed data, or APLIB_ERROR on error.
Note:
This function is not included in the libraries, but is available in src/c/depack.c. aP_depack_asm_fast can be used instead.

el tema..es que no tengo ni la mas minima idea de como ejecutar dichas ordenes...alguien puede darme una ayuda?

tambien dice:

For C/C++ you simply include aplib.h and link with the appropriate library for your compiler. If you only need to decompress data, or if you modify the decompression code, you can compile and link with one of the decompression implementations in the src folder.

For other languages you can either check if there is a useable example, or use the DLL version. Most linkers allow calling C functions in an external library, so usually there is a way to use one of the libraries.

el tema..es que encontre unos .bat que vienen junto con la libreria..por lo cual me pregunto si por bat se puede ejecutar algo que llame a la dll y pueda descomprimir el archivo.

desde ya muchisimas gracias 

aPLib que yo sepa es un código que NO es libre, por lo tanto tendrías que hacer reversing para ver como funciona, aún así hace 8 años ThePope o Mr. Khaki (es lo mismo), hizo un tutorial donde lo describía.

Busca el PE Compact de WKT! por la red... si ves que no lo encuentras bájate todos de kania.evilgirls.net.

Un saludo.

Shaddy.

[Mintaka]

Hola nuevamente, a tod@s

• Ya tengo el ordenador operativo y sin Malwares que sean amos.


• Mintaka, gracias por la sugerencia, realmente no soy partidario de muchos programas de protección (debido al uso excesivo de memoria que tienen), pero si es cierto, que a veces son necesarios.


• Os comento, hasta la fecha solo dispongo del OllyDbg y W32Dasm. ¿que otras herramientas necesito? y lo que es mas importante, ¿donde las puedo conseguir?


• En cuanto, tenga la herramienta que me indique en que compilador esta mi victima, te lo hago saber, pero creo, que con la profundidad de uso de recursos que tiene, es muy probable que me aventure a decirte que sera seguro Visual C o C#.

Salu2 y gracias por vuestra paciencia.


FreeUser

Bueno, respondo un poquito a la pregunta que decías....

En la sección de Herramientas tienes la gran mayoría de las que necesitas, verás que algunos links están rotos, la verdad aún no los he podido actalizar, sin embargo te diré que sólamente con los nombres y haciendo uso de San Google seguro que las encuentras. Lo suyo es.

• RDG Packer Detector v0.6.6 + PEiD (fly signatures) [ANALIZADORES]
• OllyDBG + IDA Pro [DEPURACIÓN Y DESENSAMBLADO]
• Lord PE, PE Tools, etc... (Recomiendo Lord PE por el Intelli Dump) [EDITOR + DUMPER]

y bueno, algunas más como el Import Reconstructor y demás.. pero que vamos, ahora no es necesario.

Un saludo.

Shaddy.

hola buen  gracias por los tutus pero no entiendo nada esque el tutu de AmeRiK@nO  no esta bien explicado y este tutu Shaddy  no tiene nada que ver grax por la ayuda no consegi nada xd segire descargando los juegos arburidos de mago nico xd

Voy a borrar ésto porque madre mía...

hola ne pude realisar el tuturial no si si algien tenga otro tutorial mas sencillo porfavor ayudenme

www.ricardonarvaja.info

leete todo el curso desde 0.

Entra en esas direcciones y mira a ver que hace . (las que supuestamente son Falsas) o les metes un BP On access y miras si se utilizan y cuando..

Shaddy.

Siempre te sale lo mismo xD, le das a Yes y listo... si algun dia tienes algun prioblema pones la antigua y listo... de todas formas lo primero es analizar el compilador o packer con RDG Packer Detector.

Un saludo.

Shaddy.

Bien, en cuanto consiga tener operativo el OllyDbg, lo intentaré.

... me encuentro con el siguiente problema !!!

Me bajo el OllyDbg 1.10 y el Plugin Development Kit de la web oficial y me da el siguiente error.

... y si elimino o renombro la citada librería, parpadea 1 nano segundo y se sale del programa. Pueden pasarme la librería correcta?

Gracias.

entiendo que seas el moderador.. pero por qué no hiciste un copy/paste con fuente en vez de dejar el link simplemente?

esto es spam?

Porque estaba haciendo 200.000 cosas, y no tenía ganas de copiarlo todo 20.000 veces... y a diferencia de algunos moderadores de otros lados, prefiero perder el tiempo escribiendo y en ing. inversa y en enseñar, que es lo que de verdad importa que no en tonterías sin sentido de spam o no spam. Si alguien quiere leerlo que se de una vuelta por la página, sino no lo lee y punto. Y eso no es hacer SPAM, porque yo no gano nada con que tu entres en mi página, y al no lucrarme me es indiferente.

¿Any Problem?

Me ha parecido muy interesante. La verdad que el tema de analizar virus, malware etc... es impresionante aunque pueda resultar a veces agobiante por el trabajo que puede acarrear.

Yo quería comentar que hace sólo una semana, en mi Windows XP original con SP3, con NOD32 actualizado, con ZoneAlarm actualizado y con Ad-Watch en ejecución se me coló uno de los peores virus que he visto: VIRUT. La verdad que la única solución fue formatear porque me infectó muchos archivos. Me resultó muy curioso y he estado tentado a analizarlo ahora en una máquina virtual, pero he desistido por falta de tiempo. Me parece muy interesante cómo y por dónde se ha podido colar este curioso virus que parece ser ya no afecta ni a Vista ni a W7.
Recuerdo que lo desensamblé y aparecía una simple API: FIndWindow pero rápidamente se introducía en un código ofuscado que no quise seguir...

Buen artículo...

Hola amigo , pues normalmente la mayoría hacen así, en cuanto saque la II Parte ya verás que una vez exatraes el kernel del bicho lo demás es puro análisis, así que hay que ir pelando la cebollita hasta tener lo que queremos.

La segunda parte la he pausado por momentos pero la estoy retomando, por la espera os pego un trozo del índice para que se vea el contenido. Ésto es solamente la parte II, faltan la III y la IV xD... y el Anexo que es reparar la .dll.. así que me queda mucho por delante, de a poco como diría ricardo .

   2.2. Situational Awareness   
   2.2.1. Deshabilitando el Data Execution Prevention (DEP).
   2.2.2. Alternativa Windows NT 4 o inferiores.
   2.2.3. Altermativa Windows 2000/XP/Vista y comprobación de privilegios.
   2.2.4. Re-ejecución del server con parámetro (NT 4 o inferiores).
   2.3. Targeting and weaponering
   2.3.1. descifrado y extracción de configuración.
   2.3.2. Instalación en el Sistema Operativo.
   2.3.3. Creación de objeto Mutex.
   2.3.4. Comprobación de Antivirus.
   2.3.5. Loader de APIs virtualizadas.
   2.3.6. Apertura de explorer y Emulación de 64 Bit.
   2.3.7. Escritura remota de secciones y ejecución del hilo remoto.

Pero claro, como todo lo primero era extraer el kernel .

Haber si puedo retomarlo que me queda muy poquito.

Un saludo!

Shaddy.

P.D: ¿Puedes enviarme una muestra con .rar/.zip con contraseña a mi correo de gmail? Gracias!