Unpacking Unidad II

josedavido

Posted on 9/4/2011, 05:11

+1

.

User deleted

Unpacking Unidad II

Siguiendo con las clases de RE. Aquí continuamos con la segunda unidad de Unpacking. Esta vez fijaremos un objetivo preciso, y va a ser el Módulo Semctool de la USB Smart.
Lo primero que vamos a hacer es identificar el empaquetador para tratar de desempacarlo total o parcialmente.

Podemos notar varias cosas:
-Que el software está hecho en Borland Delphi versión 6 o 7.
-Que está empaquetado con execryptor versión 2.2.x o 2.3.x
-Que tiene protección heurística (Más seguridad)

Así que tenemos buen trabajo que hacer si queremos eliminar siquiera el 70% de este execryptor para que nos deje trabajar en él, sino, vamos a tener problemas al tratar de modificar el software.

El primer paso que debemos dar en el proceso de Unpack el execryptor, es con un software automático, es decir, que haga todo el trabajo por nosotros, les hablo del “Unpacker ExeCryptor RC2” que es un software reconocido y que sabiéndolo usar, hará un muy bien trabajo. Es importante aclarar que este software es detectado como virus, asi que tienen que desactivar el antivirus para poder usarlo

Ejecutamos el Unpacker ExeCryptor RC2 y abrimos el software que vamos a desempacar, luego click en “Unpack” … después de unos segundos, todo el proceso habrá terminado satisfactoriamente y en la carpeta donde tenemos el SEmctool habrá un nuevo ejecutable con la terminación “_U” que es el Unpacked, es decir, la copia desempacada del original

Como a veces tenemos problemas con los des empaquetadores automáticos, nos aseguramos que el archivo resultante esté funcionando correctamente, y para eso damos click en “Test” a ver si el programa corre bien.

Si todo salió bien, debe aparecer el típico mensaje de protección de la usbs-mart “USB-Smart not find (1)” así que vamos por buen camino.

Después de esto, volvemos a verificar el software unpacked con el RDGPackdetector a ver si hemos progresado algo en la eliminación del execryptor.

Como podemos notar, aun hay bastante execryptor, mas o menos el 70% de la protección está activa. Y nos queda mas trabajo por hacer. Pero también podemos notar que ya no tenemos la protección heurística. Y eso es MUY BUENA noticia.

En este punto ya podemos modificar, por lo menos, la apariencia del software, usando el reconocido programa Resource Hacker. Podemos cambiar detalles como el ícono del programa o el nombre del formulario o el texto en los botones. Pero, mejor prefiero dejar eso para mas adelante.
Por ahora dejamos hasta ahí, en la próxima unidad veremos cómo aplicar parches para desempacar el execryptor usando Olly Debuguer.

Archivos necesarios:
www.multiupload.com/LD0OLZY75P

PD. Ya saben lo que se espera, que hagan sus propios ejercicios y posteen las capturas, a ver si estan aprendiendo

Br,
Josedavido

Edited by josedavido - 9/4/2011, 15:22

.

alx936

Posted on 11/4/2011, 16:21

.

User deleted

excelente información bro.

.

AntrhaX3Gs

Posted on 11/4/2011, 20:35

.

User deleted

esta buena viejo josedavido muy buena

.

ciberkhy

Posted on 11/4/2011, 20:41

.

User deleted

es buena

.

donvittorio

Posted on 11/4/2011, 21:36

.

User deleted

muy buena esa info, se ve que le has dedicado mucho tiempo a analizar y hacer retro ingenieria a muchos programas, felicitaciones

.

jccamilo

Posted on 11/4/2011, 22:26

.

User deleted

este es un buen tutorial que estábamos necesitando gracias por estar en este lugar

.

GSM-230787

Posted on 13/4/2011, 22:30

.

User deleted

diria que exelente info, gracias por tomarse el tiempo de explicarla

.

belerefonte

Posted on 14/4/2011, 06:09

.

User deleted

Hola, al arrancar el programa me da el sgte error
aqui el log que genera, mas no genera un ejecutable (.exe-u)
Unpacker ExeCryptor 2.x.x. Version: 1.0 RC2

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA

- Patch message "Debugger Detected"

- Patch File CRC Check

- Patch Memory CRC Check

- Remove trash from header

- Correct TLS in PE header

- Cut sections

- Reconstruct Dynamic Import: Enabled

- Fix IAT in Dump

- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: C:\Documents and Settings\Administrador\Escritorio\Telefonia\MEPextractor.exe

Create Process... PID = 0xCA0 ... Done

Finding signature function unpacking... Not Found ( Code or Data not packed )

Set memory breakpoint for Extra code section... Error

Exit Process... Done
i para en el ejecutable de la J.A.F me genera el sigte log mas no me genera el .exe_u

npacker ExeCryptor 2.x.x. Version: 1.0 RC2

- - - - - - - - - - - - - - - - SETTINGS - - - - - - - - - - - - - - - - - - -

- Clear pointer GetModuleHandleA

- Patch message "Debugger Detected"

- Patch File CRC Check

- Patch Memory CRC Check

- Remove trash from header

- Correct TLS in PE header

- Cut sections

- Reconstruct Dynamic Import: Enabled

- Fix IAT in Dump

- Find VM OEP

- - - - - - - - - - - - - - START UNPACK - - - - - - - - - - - - - - - -

File: C:\Archivos de programa\ODEON\JAF\JAF.exe

Create Process... PID = 0xDB4 ... Done

Finding signature function unpacking... Done

This is EC version >= 2.4.1.0

Set breakpoint in function... Done

Exit Process... Done
Que estoy haciendo mal?

.

josedavido

Posted on 14/4/2011, 12:45

.

User deleted

No es que estes haciendo algo mal, es que existen varios tipos de execryptor y no todos se descomprimen de la misma manera. en este caso lo que hay que hacer es deseleccionar algunas de las opciones del unpacker y volver a intentar, ejemplo, intenta deseleccionar todas las opciones de Import y las de PEHeader, sólo deja activadas las de Dump y vuelve a intentar, seguro asi te funciona, de lo contrario deesactivalas todas y vuelve a intentar.

Br,
Josedavido

.

josedavido

Posted on 15/4/2011, 21:19

.

User deleted

Aqui está un Adelanto de la unidad 3

Descargar Video www.multiupload.com/YAAJ0DPV7L

Un video de el uso de Olly DBG, OEP finder e Import Reconstruction. :ph34r:

Br,
Josedavido

.

ferchoman

Posted on 22/6/2011, 21:01

.

User deleted

Hola, Llegué tarde al inicio del estos cursos,
pero me voy a unir a partir de ahora a ellos.
Igual creo que tampoco llegué tan tarde.

Gracias, está muy bien explicada la info.

.

ferchoman

Posted on 23/6/2011, 15:59

.

User deleted

Hola.
Obtuve este resultado con el analisis de un .exe
que corresponde a un juego online.
¿Que quiere decir?
capturamv

.

josedavido

Posted on 23/6/2011, 16:32

.

User deleted

QUOTE (ferchoman @ 23/6/2011, 16:59)

Hola.
Obtuve este resultado con el analisis de un .exe
que corresponde a un juego online.
¿Que quiere decir?
(IMG:http://img684.imageshack.us/img684/6014/capturamv.jpg)

Te está mostrando el Empaquetador, en este caso es el Asprotect v1.23
Debes buscar el Unpack Asprotect para desempacar eso.

Br,
Josedavido

.

ferchoman

Posted on 23/6/2011, 16:38

.

User deleted

Gracias por tu pronta respuesta.
Si, encontré uno que se llama Stripper.
Tambien es detectado como virus. Vamos a probarlo. Cuando lo desenpaquete publico los resultados.

.

ferchoman

Posted on 23/6/2011, 19:53

.

User deleted

Rrealizado...
Casi que no. Porque tengo Windows 7 y el stripper no funciona en W7. Tuve que utilizar una màquina virtual y la version stripper_v207ht.
Adjunto imagen:
capturapc

.