¿Que es RunPE?
Es un modulo realizado en VB que ultimamente se utiliza mucho en la creación de crypters ( herramientas para saltarse los antivirus generalmente ) aunque este metodo para desempaquetar no es para exclusivamente este modulo si no para el metodo de inyección de exe que ocupa
Teoría
Lo que haremos es abrir el exe que contiene el programa que queremos desempaquetar con el ollydbg y simplemente irnos a la api ZwSetContextThread de la ntdll.dll y poner un BreakPoint ( Acuerdenze de analizar que el crypter no haaga nada mas que inyectar el exe o hacerlo en una VM ) luego darle F2 a el exe y cuando llegue al BreakPoint cerrar el exe y luego lo dumpearemos con un exe de fabricación casera mia
Acción
Paso 1
Abrimos el exe con el ollydbg luego nos vamos a la E gigante de la barra de arriba , luego vemos se le hace un click a la ntdll y despues escribimos ZwSetContextThread cuando nos encontremos en el nombre adecuado apretamos F2 cuando aparesca en rojo apretaremos F9 esperaremos y luego cerraremos
Paso 2
Con el Taskmgr rebizaremos que proceso tiene una ram extremadamente baja como 72 kb a 180kb ( generalmente es un notepad un calc.exe o el mismo exe que abrimos ) para saber en que proceso inyecto el exe y le vemos el PID (Process ID ).
Luego descargaremos mi herramienta metemos los datos necesarios y wala exe desempaquetado
No es el mejor tuto que fabricado pero creo que esta explicado bien
Saludos
SecMAM
Herramienta:
http://www.2shared.com/file/ER3Z6mGo/Dumper.html
1 comentarios:
Hola, muy interesante me podrias pasar el programa porque no esta mas en 2shared.
Saludos y gracias!
Publicar un comentario