Hola esta vez vengo con el estudio de un packer pues sencillo por que lo que hace es hacer un loader en otro idioma y unpackear el ejecutable en memoria y cargarlo dese la carpeta de temporales... veamos...
Tutorial Desempacando Pain Crew Protector 1.1
Primero analizamos con el PeiD y el RDG para examinar y no podemos ver el OEP y nos da un error de memoria que raro...
(http://img28.imageshack.us/img28/1373/tute1.png)
Abrimos el programa a ver que nos dice y vemos el mensaje.... pues hagamosle el tutorial...
(http://img97.imageshack.us/img97/4783/tute2.png)
Teniendo abierto el programa abrimos el LordPE para examinar el proceso y nos encontramos con la sorpresa que lo unpackea y lo corre desde la carpeta temp asi que vayamos hasta ahi...
(http://img202.imageshack.us/img202/3205/tute3.png)
Encontramos el archivo... Copiamos el archivo creado a la carpeta donde esta el unpackme para examinarlo
(http://img710.imageshack.us/img710/5756/tute4.png)
Lo abrimos para ver y si es y unpackeado que facil es la seguridad de este packer...
(http://img651.imageshack.us/img651/3443/tute5.png)
Abrimos con el PeiD para examinar y vemos todo correcto y su OEP 4271B0
(http://img717.imageshack.us/img717/7102/tute6.png)
Abrimos con el OllyDBG para revisar... y vemos todo correcto
(http://img693.imageshack.us/img693/6627/tute7y.png)
Cambiamos las String para aprovechar y hacer mas largo el tutorial y para terminar de revisar su buen funcionamiento y queda asi...
(http://img515.imageshack.us/img515/6744/tute8.png)
bueno me despido con este packer facil hasta un proximo tutorial un saludo a todos
Feliz Cracking
CronuX
:o
de facil no es tanto, porque dropea el archivo, quizas como anexo para los .net es usar reflector y verificar antes que ocurra, pues muchas veces pueden haber malware de por medio, menos mal que teddy rogers, mas o menos en un 99% todos los exes estan limpios.
pero el ultimo paso es el mas divertido..todo estuvo en %tmp% todo el tiempo.
saludos Apuromafo