Ayuda con armadillo

KJD · 10 Noviembre 2008, 17:16 PM

Bueno, las novedades:

No se porque, pero ahora el segundo proceso se crea antes que olly pare en CreateMutexA, no se que sera. Shadow, si sigo tu metodo, el del CALL R32, me da error de que no puede acceder a la pocicion F5638CF7, que no es redeable, o leeible.

Algun otro metodo???

tena · 10 Noviembre 2008, 18:43 PM

Es que no es en CreateMutex, es en OpenMutex, a la segunda vez que para le das ctr+f9 y estas en el ret, y ahi cambias a eax por un 1...

Lo mejor es poner el bp en el ret del OpenMutex, por las dudas te llegara a detectar.

Saludos

KJD · 10 Noviembre 2008, 18:55 PM

Hay tena!!!! $:-\$ $:-\$ ! soy un idiota, o talvez este saturado de tanto asm, en fin, mil gracias.

Ahora, me faltaria encontrar el oep no??? poniendo un BP on acces en la sección text 41000 no??.

Saludos y gracias,

tena · 10 Noviembre 2008, 19:02 PM

Ahora un bp en CreateThread, dos veces ctrl+f9 y buscas por abajo un Call Registro que ese es el salto al oep. Pones un bp en ese call registro y das run, luego f7 y estas en el oep.

saludos..

KJD · 10 Noviembre 2008, 19:17 PM

Gracias tena, lo encontre, ahora lo dumpeo con el ollydump??? o con LordPE???

Esto parece una conversacion de msn jejej.

tena · 10 Noviembre 2008, 19:30 PM

jeje mejor con LordPe y activa el Intellidump..

y ya que estas en el oep fijate como esta la iat, ponele un hbp on write a una de los valores y luego reinicia para buscar el salto magico..

Tambien un HBP en execucion al oep...

cuando reinicies, no te olvides del OpenMutex

Suerte

KJD · 10 Noviembre 2008, 19:50 PM

Una vez Dumpeado, con el ImpRec, no me encuentra las importaciones, osea la IAT debe estar echa pelota, ahora me surgue una duda,

este es mi OEP

y esta es la sección a donde me lleva el jump

Mi pregunta es, cual call es la que tengo que seguir en el dump para poner el HBP on write???

tena · 10 Noviembre 2008, 20:02 PM

te vas a cualquiera de las call indirectas, por ejemplo la de GetVersionExA, das follow in dump memory address, y en la ventana del dump para verlas mejor elijes Long>Address..

Luego ahi pones el hbpw en cualquiera de los valores y reinicias...

Suerte

Amerikano|Cls · 10 Noviembre 2008, 20:10 PM

Realmente no creo que ese sea el OEP, KJD se me olvido preguntarte ayer si a ud el Olly le rompia 2 veces en el CreateThread, por que en el ejecutable que me mandastes no

, si aud si le para 2 veces, luego de ello es donde debes buscar la call r32, como dice Shaddy (CALL EAX) o ver si para en la sección code despues de poner el BP ON EXECUTION, y si no tiene pinta de OEP al parar prueba nuevamente con F9, normalmente en la primera parada no es.

salu2

amerikano

Shaddy · 10 Noviembre 2008, 22:50 PM

si si, ese es el OEP destrozado.