-
josedavido.
User deleted
Unpacking Unidad II
Siguiendo con las clases de RE. Aquí continuamos con la segunda unidad de Unpacking. Esta vez fijaremos un objetivo preciso, y va a ser el Módulo Semctool de la USB Smart.
Lo primero que vamos a hacer es identificar el empaquetador para tratar de desempacarlo total o parcialmente.
Podemos notar varias cosas:
-Que el software está hecho en Borland Delphi versión 6 o 7.
-Que está empaquetado con execryptor versión 2.2.x o 2.3.x
-Que tiene protección heurística (Más seguridad)
Así que tenemos buen trabajo que hacer si queremos eliminar siquiera el 70% de este execryptor para que nos deje trabajar en él, sino, vamos a tener problemas al tratar de modificar el software.
El primer paso que debemos dar en el proceso de Unpack el execryptor, es con un software automático, es decir, que haga todo el trabajo por nosotros, les hablo del “Unpacker ExeCryptor RC2” que es un software reconocido y que sabiéndolo usar, hará un muy bien trabajo. Es importante aclarar que este software es detectado como virus, asi que tienen que desactivar el antivirus para poder usarlo
Ejecutamos el Unpacker ExeCryptor RC2 y abrimos el software que vamos a desempacar, luego click en “Unpack” … después de unos segundos, todo el proceso habrá terminado satisfactoriamente y en la carpeta donde tenemos el SEmctool habrá un nuevo ejecutable con la terminación “_U” que es el Unpacked, es decir, la copia desempacada del original
Como a veces tenemos problemas con los des empaquetadores automáticos, nos aseguramos que el archivo resultante esté funcionando correctamente, y para eso damos click en “Test” a ver si el programa corre bien.
Si todo salió bien, debe aparecer el típico mensaje de protección de la usbs-mart “USB-Smart not find (1)” así que vamos por buen camino.
Después de esto, volvemos a verificar el software unpacked con el RDGPackdetector a ver si hemos progresado algo en la eliminación del execryptor.
Como podemos notar, aun hay bastante execryptor, mas o menos el 70% de la protección está activa. Y nos queda mas trabajo por hacer. Pero también podemos notar que ya no tenemos la protección heurística. Y eso es MUY BUENA noticia.
En este punto ya podemos modificar, por lo menos, la apariencia del software, usando el reconocido programa Resource Hacker. Podemos cambiar detalles como el ícono del programa o el nombre del formulario o el texto en los botones. Pero, mejor prefiero dejar eso para mas adelante.
Por ahora dejamos hasta ahí, en la próxima unidad veremos cómo aplicar parches para desempacar el execryptor usando Olly Debuguer.
Archivos necesarios:
www.multiupload.com/LD0OLZY75P
PD. Ya saben lo que se espera, que hagan sus propios ejercicios y posteen las capturas, a ver si estan aprendiendo
Br,
Josedavido
Edited by josedavido - 9/4/2011, 15:22. -
alx936.
User deleted
excelente información bro. . -
AntrhaX3Gs.
User deleted
esta buena viejo josedavido muy buena . -
ciberkhy.
User deleted
es buena . -
donvittorio.
User deleted
muy buena esa info, se ve que le has dedicado mucho tiempo a analizar y hacer retro ingenieria a muchos programas, felicitaciones . -
jccamilo.
User deleted
este es un buen tutorial que estábamos necesitando gracias por estar en este lugar . -
GSM-230787.
User deleted
diria que exelente info, gracias por tomarse el tiempo de explicarla . -
belerefonte.
User deleted
Hola, al arrancar el programa me da el sgte error
aqui el log que genera, mas no genera un ejecutable (.exe-u)
Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: C:\Documents and Settings\Administrador\Escritorio\Telefonia\MEPextractor.exe
Create Process... PID = 0xCA0 ... Done
Finding signature function unpacking... Not Found ( Code or Data not packed )
Set memory breakpoint for Extra code section... Error
Exit Process... Done
i para en el ejecutable de la J.A.F me genera el sigte log mas no me genera el .exe_u
npacker ExeCryptor 2.x.x. Version: 1.0 RC2
- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -
- Clear pointer GetModuleHandleA
- Patch message "Debugger Detected"
- Patch File CRC Check
- Patch Memory CRC Check
- Remove trash from header
- Correct TLS in PE header
- Cut sections
- Reconstruct Dynamic Import: Enabled
- Fix IAT in Dump
- Find VM OEP
- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -
File: C:\Archivos de programa\ODEON\JAF\JAF.exe
Create Process... PID = 0xDB4 ... Done
Finding signature function unpacking... Done
This is EC version >= 2.4.1.0
Set breakpoint in function... Done
Exit Process... Done
Que estoy haciendo mal?
. -
josedavido.
User deleted
No es que estes haciendo algo mal, es que existen varios tipos de execryptor y no todos se descomprimen de la misma manera. en este caso lo que hay que hacer es deseleccionar algunas de las opciones del unpacker y volver a intentar, ejemplo, intenta deseleccionar todas las opciones de Import y las de PEHeader, sólo deja activadas las de Dump y vuelve a intentar, seguro asi te funciona, de lo contrario deesactivalas todas y vuelve a intentar.
Br,
Josedavido. -
josedavido.
User deleted
Aqui está un Adelanto de la unidad 3
Descargar Video www.multiupload.com/YAAJ0DPV7L
Un video de el uso de Olly DBG, OEP finder e Import Reconstruction.
Br,
Josedavido. -
ferchoman.
User deleted
Hola, Llegué tarde al inicio del estos cursos,
pero me voy a unir a partir de ahora a ellos.
Igual creo que tampoco llegué tan tarde.
Gracias, está muy bien explicada la info.. -
ferchoman.
User deleted
Hola.
Obtuve este resultado con el analisis de un .exe
que corresponde a un juego online.
¿Que quiere decir?
. -
josedavido.
User deleted
Hola.
Obtuve este resultado con el analisis de un .exe
que corresponde a un juego online.
¿Que quiere decir?
(IMG:http://img684.imageshack.us/img684/6014/capturamv.jpg)
Te está mostrando el Empaquetador, en este caso es el Asprotect v1.23
Debes buscar el Unpack Asprotect para desempacar eso.
Br,
Josedavido. -
ferchoman.
User deleted
Gracias por tu pronta respuesta.
Si, encontré uno que se llama Stripper.
Tambien es detectado como virus. Vamos a probarlo. Cuando lo desenpaquete publico los resultados.. -
ferchoman.
User deleted
Rrealizado...
Casi que no. Porque tengo Windows 7 y el stripper no funciona en W7. Tuve que utilizar una màquina virtual y la version stripper_v207ht.
Adjunto imagen:
.