Banner 1

Desempaquetando Themida y otros ofuscadores de código

Publicado por Unknown en 18:54 lunes, 3 de agosto de 2009 Etiquetas:
esta entrada me gusto mucho y mas que es una parte de traduccion de un trabajo muy bien explicado sobre el uso de olly XD , asi que ahi se los dejo , agradecimientos y saludos

COMO DESEMPAQUETAR ARCHIVOS PROTEGIDOS POR THEMIDA O PROGRAMAS SIMILARES

Para ello necesitaremos lo siguiente:

1- El debugger OllyDbg
2- Plugin Phantom para ollydbg (hace que el debugger sea indetectable
3- PEiD (Detector de firmas en ejecutables)
4- Script para OllyDBG Okdoko script
5- ImportRec (Herramienta de reconstrucción)

Que os lo he dejado, ya todo montado en este enlace:
http://rapidshare.com/files/261748602/ANTI-THEMIDA.rar.html
MD5: E2DFEC3B199FDE2D007B989438B16AE3

Para hacer la prueba, solo hará falta que os bajéis el Themida en http://www.oreans.com/

Y procedéis a empaquetar cualquier ejecutable que queráis

El primer paso es saber más información de nuestro ejecutable, para eso abriremos el programa PEiD, buscaremos el archivo que hemos empaquetado con themida y nos dará la siguiente información:











Seguidamente abriremos el OllyDBG y configuraremos el plugin Panthom, como se puede ver:


















Cargaremos el archivo a analizar y nos saldrá una pantalla parecida a esta:














Con Alt+M podemos ver una mapa de memoria, y descubrir con que lenguaje está echo.

Seguidamente vamos a ejecutar el script para encontrar el inicio del programa real, con Plugin>ODbgScript>RunScript y seleccionando okdodo.osc

Esto hará que nuestro programa se ejecute, y parará justo al empezar el código sin empaquetar. Podemos ver en el EIP la dirección de inicio del código, en nuestro caso 040211.

Sin cerrar el debugger, abriremos el programa ImportREC y seleccionaremos nuestro programa de la lista desplegable. Automáticamente cargara en el OEP la dirección de inicio (inicio de ollydbg-image base de importREC), en nuestro caso 0402113-0400000.

Le damos a Get Imports y nos importará todas las funciones contenidas en esa dirección, tenemos que fijarnos en el valor valid=YES.

Clicamos con el botón derecho sobre la función y seleccionamos Advanced options>Select code section(s)






Hacemos clic sobre Full Dump y nos pedirá donde guardar nuestro archivo.

Seguidamente salimos de esta pantalla, y en la principal hacemos clic sobre fix dump, seleccionamos el archivo creado antes y .. “oh viola”.. tenemos el archivo exe original. Ya podemos hacer lo que queramos con el.

En mi caso edité el programita con el 010 editor y después de que el antivirus se quejara varias veces, descubrí que se trataba de un virus/troyano creado con uno de esas interfaces de creación rápida de virus.

http://evidenciasdigitales.blogspot.com/2009/07/desempaquetando-themida-y-otros.html

http://richie86.wordpress.com/ fuente en ingles

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Powered by Bad Robot
Helped by Blackubay