Archivo .exe que oculta lineas en ollydbg

Isel2 · 11 Agosto 2014, 20:31 PM

Hola, estoy aprendiendo un poco de ingeniería inversa y me encontré un archivo .exe que al abrirlo con el ollydbg y buscar un comando en concreto este aparece pero en cuanto desplazo desaparece ocultándose entre dos líneas.
¿Qué es lo que pasa?

MCKSys Argentina · 11 Agosto 2014, 20:41 PM

Hola!

Eso significa que el comando no esta alineado con las direcciones del desensamblador de Olly. Es normal con packers.

Saludos!

Isel2 · 11 Agosto 2014, 20:56 PM

Y eso como se corrige?. Antes de contestar piensa que estoy dos puntos por debajo de un novato en estos temas

MCKSys Argentina · 11 Agosto 2014, 22:19 PM

Creo que tengo que responderte con una pregunta: porque lo quieres corregir?

No creo que necesites corregir eso. Creo que necesitas acostumbrarte a eso.

Saludos!

x64core · 11 Agosto 2014, 22:56 PM

Supongo que es la version 1.x? Esa versión tiene bastantes errores al desesamblar al estar en la instrucción intenta Ctrl + A o
has click en el primer byte de la instrucción presionar Ctrl + E y Enter asi el desesamblador iniciará analizando desde ese byte,
marcando los bytes de la instrucción presionar Ctrl + E y Enter, ayudando al desemsamblador a poder corregir nopeando los bytes invalidos sino funciona intenta con ollydbg 2.x tiene un mejor desensamblador o intenta con diferente depurador, también hay
programas que leen directamente la memoria del proceso e intentan desensamblar.
¿Que tal si publicas el ejecutable?

Isel2 · 12 Agosto 2014, 11:34 AM

Seguro que teneis razón, pero necesito saber. Cuando siges los pasos de un tutorial y te encuentras que no puedes seguir los saltos y que parte de las líneas del archivo están ocultas, fustra bastante. He probado con las versiones 1.1 , 2.0 y 2.1 , todas hacen lo mismo. Los tutoriales que consegui se basan en el ollydbg. Para publicar el archivo necesitaría alguna instrucción pues aquí no encontré ninguna opción para insertar. Gracias y Saludos.

x64core · 12 Agosto 2014, 19:47 PM

Cita de: Isel2 en 12 Agosto 2014, 11:34 AM
Seguro que teneis razón, pero necesito saber. Cuando siges los pasos de un tutorial y te encuentras que no puedes seguir los saltos y que parte de las líneas del archivo están ocultas, fustra bastante. He probado con las versiones 1.1 , 2.0 y 2.1 , todas hacen lo mismo. Los tutoriales que consegui se basan en el ollydbg. Para publicar el archivo necesitaría alguna instrucción pues aquí no encontré ninguna opción para insertar. Gracias y Saludos.

Ve hacia https://www.sendspace.com/ navega o arrastra el archivo, espera y copia el primer enlace y pongo aquí
asi puedo analizar el ejecutable, cuando suceden cosas asi debes determinar cual es el problema ya que puede ser de forma intencional
o puede que no, combinación de instrucciones de tipo, ofuscación de código, problemas de referencia , combinación de código y dato, etc.

.:UND3R:. · 13 Agosto 2014, 01:37 AM

No será por un mal análisis de código del depurador?, para ello clic derecho y luego Remove analisis code, no recuerdo muy bien como era, en caso contrario lo analisas. Ahora si sigues un tutorial tal problema debería ser comentado por el autor a no ser que lo estés analizando otro ejecutable.

Lo que ocurre es que hay problemas de alineación del set de instrucciones los cuales pueden ser ocasionados a drede con la finalidad de ofuscación de código, en tal caso un F7 sin mover el scroll en el desamblador podría ayudar.

Isel2 · 16 Agosto 2014, 19:45 PM

Pues si, estoy analizando otro archivo y voy como un ciego sin bastón ni lazarillo. He probado lo que me has comentado y no he conseguido nada.
Continuare aprendiendo y lidando con este archivo hasta, ó conseguirlo ó
dejar la piel en el intento. Gracias y un saludo.