Mensajes

¿Y para que querías hacerlo indetectable?

Un saludo.

Shaddy.

Si el parche es el original de BRD te garantizo que no esta infectado
Yo no confiaria tanto en los antivirus
Conozco muy bien a la gente de ese team y no hacen ese tipo de maldades

Pero a los parches a veces les meten mucho bicho solid.. lo mejor es que lo testees en una SandBox, busca Anubis Malware en Google y míralo ahí. (Ojo, algunos tienen sistemas anti sandbox).

Un saludo.

Shaddy.

Ummm Shaddy me dio la idea, gracias, al final despues de mucho debuggeo lo consegui, el PyDbg ya carga el UnpackmeArmadillo6 

Lo hice así, capturo todas las excepciones con un manejador, en este pongo un breakpoint en el inicio de la SEH function, y en el manejador de esta un breakpoint en el retorno(retorno al ntdll, o al so, lo que sea)( luego borro los breakpoints claro), en el manejador del break de retorno de la esxcepcion restauro los valores de los registros de depuracion y zas!! en toda la boca Armadillo!!! jajaja 

Felicidades! , podrías hacerte un tutorial de como lo has hecho .

Un saludo.

Shaddy.

Era una cosilla, dwFlags = 0x0 vaya tonteria lo que hacia funcionar raro la cosa
Por lo demas los hw bps no funcionan porque armadillo los borra! como lidiar con esto? alguna idea? se me ocurre poner un handler ante el evento de despues de procesar la excepcion pero no se como hacer esto, tal vez no este contemplado, como lo hara olly??

poner un breakpoint normal (0xCC) en los retornos de las API.

Un saludo.

Shaddy.

Ahí envío un nuevo artículo sobre malware.

http://abssha.blogspot.com/2009/06/analisis-de-bifrost-v12-exahustivo.html

Un saludo.

Shaddy.

[tincopasan]

ya te digo! Bienvenido tincopasan . Ponte cómodo .

Un saludo.

Shaddy.

Antes se hacía un injerto, y si.. hay herramientas para hacer todo ésto.. en la página de ARTeam tienes el ArmInline.. o el Armaggedon, y algunos que te lo hacen todo sin hacer nada.

Para hacerlo a mano deberías simular los "eventos" del hijo hacia el padre como que hay "secciones" de código que se quieren ejecutar para que lo parchee correctamente y lo deje bien.

Un saludo.

Shaddy.

Los nanomites son instrucciones 0xCC (int 3) puestos sobre todo el código para que el "proceso hijo" provoque una excepción, que luego el padre gestionará introduciendo el byte correcto, así que tienes que hacer un pequeño injerto en el "código" de respuesta del WaitForDebugEvent simulando que estás enviando información sobre todas las secciones a arreglar, y luego parcheas todos los nanomites.

Un saludo.

Shaddy.

ok shaddy
la pregunta no era solo para revolutions, era al foro, por supuesto que es la forma de como la he planteado, que no me ha salido como quisiera
lo hare mejor la proxima vez,  aunque insisto en esto de access que no consigo desproteger un formulario dentro de un mde, en fin gracias de todas maneras y lo hare mejor ok

yo lo que haría (es mi opinión) ver las estructuras de los formularios en un .mdb y ver un .mde, crearte tu uno, uno sencillo, y ver las diferencias... una vez lo vas viendo ya sabrás por donde entrarle... es una idea.

Un saludo.

Shaddy.

Encontre esto buscando en otro foro,
ojo el aporte no es mio, el archivo lo subio otro usuario y es de los pcos resultados que salen en google referentes a esta version, solo que como la pagina pide registro para ver links, ps les ahorro el trabajo.

http://rapidshare.com/files/158581020/Themida_and_WinLicense_2.0.1.0___Unpacking_.rar

no lo he probado, lo estoy bajando hasta ahora.

¿Lo has subido a www.virustotal.com o www.novirusthanks.org?

Nota: Es un tutorial, no lleva virus en principio.

Shaddy.