[UNPACKME] [UnpackMe] Pon a prueba tus habilidades!

  • Hola Invitado ¿Quieres conversar con todos los usuarios de GamerzHacking?, No esperes mas y entra al canal de Discord dando clic AQUI
  • Hola Invitado, hemos decidido no subir mas videos de Game Hacking a la mierda de YouTube, mas informacion AQUI. Nuestro nuevo canal de videos ahora es COCOSCOPE.

ZrCulillo

~1488¬
Miembro del equipo
13 Abr 2019
20
40
13
Russia
PLATAFORMA: Windows x86 & x64.
DIFICULTAD: ¿¿??.
LENGUAJE: CSharp.

OBJETIVO: Conseguir la clave y arreglar completamente el ejecutable.
INFORMACIÓN: Se puede abrir en VM y utilizar cualquier tipo de herramienta, no hay reglas.


DESCARGA:
Por favor, Acceder o Registrarse para ver el contenido de las URL!

VIRUSTOTAL:
Por favor, Acceder o Registrarse para ver el contenido de las URL!
 
  • Like
Reactions: Destroyer

0x90

Desarrollador
Miembro del equipo
5 Abr 2018
15
10
3
27
127.0.0.1
axdsan.github.io
[ADVERTENCIA]Como siempre recomendamos, nunca se arriesgen a ejecutar ningun tipo de ejecutable en su maquina.[/ADVERTENCIA]



Para explotar este tipo de vulnerabilidades, un desarrollador configura un valor de “depuración” bajo una clave IFEO (Image File Execution Options) dentro de su programa que permite ejecutar otras aplicaciones o programas fácilmente haciendo la llamada a la depuración del programa. Esta función fue creada para que los programadores pudieran tener mayor control sobre sus programas, aunque, como suele ocurrir, los piratas informáticos también recurren a estas técnicas para llevar a cabo sus ataques.
Una simple asociación IFEO permite ejecutar una ventana de CMD simplemente pulsando 5 veces la tecla “shift”

Sticky Keys
(sethc.exe) es una de las herramientas de accesibilidad incluidas en Windows, aunque no es la única. Los piratas informáticos pueden crear una entrada en el registro de Windows que asocie esta herramienta con un sistema de depuración en CMD mediante las “Image File Execution Options”.
De esta manera, sin darnos cuenta, un atacante podría conseguir abrir una ventana de CMD en cualquier momento simplemente pulsando 5 veces seguidas la tecla shift de nuestro ordenador, incluso aunque la sesión esté bloqueada. Además, esta ventana de CMD tendrá el máximo nivel de privilegios.
 

dhanax26

Administrador
Miembro del equipo
5 Mar 2019
26
63
13
19
United States
@0x90 Realmente esas claves de registro solo sirven para ejecutar un archivo que descarga el archivo que abres y ese luego mediante la cmd abre el descargado con los atributos Hidden y System que es el verdadero "unpackme", puedes seguir estos pasos para conseguirlo (es igual a fuserex): Punto 1: Quita el AntiTamper Go To .ctor Module y BreakPoint y guardas, le pasas de4dot y lo vuelves abrir en el dnspy seleccionas el segundo metodo del punto de entrada haces otro breakpoint y guardas y repites con de4dot. Punto 2: Una vez llegados aqui buscas la clase en la que esta el delete del archivo le haces nop en el delete y guardas el archivo con la configuracion de que guarde todas las mdtokens y vuelves a pasar de4dot. Punto 3: vuelves al mismo sitio donde nopeaste el delete y buscas donde queda la descarga del archivo (escritorio) y le quitas el valor de hidden y system (aunque yo deje el de system total da igual) guardas de nuevo el archivo con los mdtokens y vuelves a pasar de4dot para solucionar posibles callstacks... ahora lo ejecutas normal y aparecera en escritorio o en la carpeta donde esta el ejecutable el verdadero unpack me, el cual su metodo de deob es el mismo que el anterior solo que este trae mas junk code y la clave no es fija cada instancia del programa genera una diferente en AES.