miércoles, 6 de mayo de 2009

[CLS].Themida.desde.cero.PARTE.I











Hola!,

Aca les dejo el primer tutorial de una saga. Espero que les guste.

[CLS].Themida.desde.cero.PARTE.I.by.+NCR

NOTA: si 4shared les avisa de un virus en el paquete es solo porque viene con los programas packeados con themida y dumpeados. La heuristica del AV lo detecta como virus pero en realidad no es mas que por el polimorfismo del codigo del packer. Pueden bajarlo sin problemas.

Hasta la proxima!.

12 comentarios:

binary dijo...

Que triste es ver como la scene hispana del reversing ha acabado en este tipo de estudios.

Está claro que hoy en día cualquiera puede trabajar como "ingeniero inverso".

Acaso os dan el título o la oferta del trabajo en la tómbola?

Esto evidentemente es un sarcasmo.

Lo que si que espero ver en los próximos estudios es algo más de nivel.

No me refiero en la víctima si no en la escritura.

Desconozco si a día de hoy eres capaz de "desempaquear" xDDDDD un Themida completito.

Debo de imaginar que no por la forma que tienes de atacar este tipo de protección y tu forma de escribir y explicar.

Yo no sé si sabías lo que es el metamorfismo en cuanto a código se refiere.

Si "desempaqueas" (que ya sea dicho de paso la primera vez que VEO esa palabra) otro programa protegido con Themida tendrás que hacer un nuevo ataque.

A día de hoy públicamente no hay ataque genérico.

Además veo que tampoco sabes mucho de programación ya que la potencia sobre el protector que has escrito son las macros.

En vez de criticar tanto a los élites como dices en tú escrito haz un poco de autocrítica y aprende un poco más sobre este protector antes de seguir escribiendo anda.

Saludos y sin acritud pero al final tanto criticar a esos "élites" y en el fondo eres tú 1.


PD: Un poco de ortografía no te vendría nada mal men.

binary dijo...

Y por favor estudia la diferencia principal que hay entre el polimorfismo y metamorfismo.

Ya no te hablo de oligomorfismo que seguramente no sepas al ver con la alegria que "HEXKRIBES" xDDDDD sobre polimorfismo.

+NCR/CRC! [ReVeRsEr] dijo...

Hola!,

Mira, es verdad, no sabre muchas de las cosas que decis pero mi objetivo siempre es aprender. Y esto es justamente a lo que me refiero, si vos conoces tanto y sabes mucho mas que un newbie por que no escribis un tutorial sobre como despaquear un themida compleito (que dicho sea de paso es el objetivo final de estos tutoriales, pero llegara con el tiempo)?.

Por como te dirigis a mi creo que tenes mucho conocimiento entonces te invito a que lo hagas publico, sino seria mejor quedarse en silencio.

Yo no tendre tu nivel pero al menos lo que se intento enseñarlo y no guardarmelo para los circulos de elite.

Un abrazo.

+NCR/CRC! [ReVeRsEr] dijo...

Hasta el momento de hacer publico este humilde tutorial nadie hizo nada como dios manda, simplemente video tutoriales o notas sobre como despaquean el themida etc. Me pregunto cual es el problema en explicar el porque de las cosas, con mas detalle al fin y al cabo la idea no es aprender? pues en mi opinion lo que hay hecho publico de themida hasta antes de publicar este tutorial no sirve para nada, solo para inflar el ego de los elites que despaquean (si no te gusta el termino pedile a la academia española que lo agregue).

Pura habladuria pero hasta ahora no he visto algun trabajo tuyo. Los espero en la lista de crackslatinos, ojala me tapes la boca, quedare en ridiculo pero con tu tutorial aprendere seguramente.

Saludos.

+NCR/CRC! [ReVeRsEr] dijo...

ah la ultima, viste como se titula la entrada y el tutorial?: "Themida desde cero" te dice algo eso?.

Chau!.

Shaddy dijo...

La verdad Binary lo que si que es triste es hablar de una escena hispana de "reversing", como si aún quedara alguna "scene" española... respecto a lo de "ingeniero inverso" si es tan fácil que cualquiera trabajo de ello cuéntame :), no sabía que existían titulados.

A veces que las cosas no estén escritas como a uno le gusta, con tecnicismos o sin tecnicismos, al fin y al cabo son de uso mnemonicos para describir lo que en realidad son simples bytes, opcodes, o con el nombre que le quieras poner.

Usar el Metamorfismo para demostrar si alguien tiene conocimientos, es sin duda muy pedante, algo que haría, que si te conociera, me avergonzara al leerte.

Obviamente, polimorfismo es un código que puede variar pero que siempre realiza la misma función, y metamorfismo cambia las estructuras del malware así como el código, podría describirlo mucho más pero el juego de la pedantería no me gusta, la verdad.

Cualquier niñato que se aprecie encontraría una buena explicación de libro en Google, no me cabe duda.

Pero lo importante aquí es aprender, por encima de todo, y por encima de ti, te puede gustar o no gustar, si ves que no está lo suficientemente como para que te guste mejóralo, estoy convencido de que harías un "paper" muy detallado y bueno sobre la VM y la potencia de los "macros" de un TheMida, sin embargo mientras no lo hagas no hace falta que te sientas obligado a criticar a nadie.

Recuerda el proverbio Hindú.

"Cuando hables, procura que tus palabras sean mejores que el silencio"

seguro ahorrarías tiempo escribiendo el paper.

Shaddy.

Solid dijo...

binary, la verdad que aca el unico que da tristeza sos vos. No tenes derecho a criticar, en lugar de eso, podrias demostrar tu potencial conocimiento escribiendo algun paper sobre este protector, (o al menos sobre UPX si no te da para mas que eso) si ya lo hiciste, me encantaria verlo, y si no lo hiciste, pues cierra la boca y respeta el trabajo ajeno. Me molestan mucho las personas que se van de boca y no hacen nada productivo. sos un triste payaso que solo hace comentarios como para estar ahi en los foros de reversing, y figurar de alguna forma. nada mas que eso.
Pensa un poco lo que te digo, es un consejo de un amigo
Saludos.
Solid.

Hiei dijo...

Tengo al menos tres razones para responder de manera inmediata, a saber:

1. Para felicitar a +NCR por su blog y el empeño puesto en su estudio sobre Themida.
2. Para valorar el esfuerzo y el deseo de compartir algo que para muchos es de temer (atacar al Themida).
3. Y para brindar mi opinión al respecto sobre el comentario, propiedad del élite manifestado.

+NCR: Has escrito más de 150 manuales sobre cracking vulnerando infinidad de protecciones, tal empresa sólo la realiza quien en realidad posee el espíritu de compartir. La vorágine de éxitos que contextualiza tu presente en el mundo del cracking, limita los temas que podría tratar, ya que mis macilentos conocimientos me sonrojan e inhiben ante la fulgurante estampa de tu nombre y de tus inmensurables horizontes, todos esperanzadores...

No vale la pena hacer caso a banales comentarios por parte de un individuo que alega ser élite, cuando obviamente todos podemos aducir la baja autoestima que posee, si su sapiencia es tan amplia y lleva consigo tanto conocimiento en su cabeza, ¿Por qué no existe alguna prueba ferviente de ello?. Algún tutorial, algún crack, algún inline... Es pura habladuría.

binary: Has sido petulante al intentar demostrar tus habilidades en cuanto al uso del verbo, corroboro con mucho pesar, que tus parámetros de análisis se ubican entre la estrechez del tema de la ortografía, los cuales viven agobiados por el constante devenir de tus persistentes conflictos emocionales.

Entrando en materia, obviamente eres alguien patético, pretendes ser especial cuando no lo eres.
Personalmente conozco a tanta gente élite que jamás pensaría darse aires de grandeza o alabamiento a sí mismos. Gente que es capaz de romper grandes esquemas como EXECryptor, ASProtect, Armadillo o incluso al mismo Themida y sacarles "keygen"... Gente que analiza fácilmente complejas cryptografías y sale victoriosa... Gente completamente humilde que es capaz de hacer un inline patch + keygen a un programa protegido con Themida + RSA1024 (Como es el caso del último crack para el AnyDVD por un conocido grupo élite).
Pero entre tú y ellos existe mucha brecha, la diferencia entre ellos es que realmente saben y son humildes. Se dice por ahí que en realidad "el que sabe no habla y el que habla no sabe..." y eso ha quedado evidenciado en este caso.

Que no te aflijan las palabras escurridizas, que no te abatan los duelos... admiro y respeto tu comentario y te invito cordialmente a demostrar tu capacidad proveyendo algún tutorial o alguna muestra de lo que en realidad dices ser y a no quedarte entre las sombras reclamando alguna atención o crédito atancando a otros.

P.D: Crees ser élite y atacas a la comunidad hispana, pero puedo apostar que en tus inicios alguna vez leíste y aprendiste del maestro Narvaja y aún los mejores crackers saben reconocer que muchos aprendieron de él :P.

Hiei.-

AmeRiK@nO dijo...

No le des bola a la Elite que cada vez mas se creen Dioses y no lo son, solo hay 2 y como dice shaddy Messi es el otro. Muy bueno como siempre lo que escribes y sigo esperando la 2 parte... :D, y a ver si por fin me dejan de poner tareas en la U y puedo terminar mi asproteta jeje.

salu2

- r00y - dijo...

Me parece muy bien el tutorial, me lo lei hoy en la madrugada, aunque de rapidito que ya salia el sol y no queria desaparecer (LOL). Vas bien, en lo personal me gusta mas analizar código en busca de un cerrajero (keygen), y no pierdo la esperanza de tmb estudiar mas a los empaquetados. Sigue así, te mando un abrazo mi estimado +NCR/CRC! Quedo en espera de la continuación.

+NCR/CRC! [ReVeRsEr] dijo...

Muchas gracias!. Estoy trabajando en ello pero no es el unico proyecto que tengo en este momento, hay varias cosas que me gustaria hacer pero poco tiempo para hacerlas :P ya sabras como es esto.

Jorge dijo...

Hola,

¿Alguna novedad sobre el estado del proyecto?

Muchas gracias y enhorabuena por el tutorial.

Saludos.