Ayuda descubrir tipo de proteccion !

Iniciado por Dawer, 28 Julio 2016, 03:00 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2
Acciones del Usuario

MCKSys Argentina

#10
4 Agosto 2016, 02:33 AM
Cita de: Dawer en  4 Agosto 2016, 01:57 AM
ahhh en verdad muchas gracias MCKSys Argentina, disculpa mi ignoracia  :-[
Ahora tengo esta otra inquietud haber si por aqui le pegamos a algo,
estando en el propio ejecuble (el de la carpeta) con olly voy a esta direccion:
006EF17F el siguiente codigo:
006EF17F ADD BYTE PTR DS:[EDX],AL
006EF181 OR BYTE PTR DS: [ECX+8D8B084A],44
006EF188 ???
006EF18A DEC DWORD PTR DS: [ECX+D48B0C4A]

Bueno lo extraño para mi es que estas lineas en cuanto trato de desplazarme hacia arriba o hacia abajo de inmediato desaparecen sin dejar rastro, solo aparecen si las llamo con su direccion exacta, es esto normal? y cuando hago correr el programa siguen ocultas porque se esconden? sera que es un exe embrujado?

Los ejecutables hechos en VB son "especiales" pues mezclan datos en la sección de código. Ollydbg no "reconoce" dicha forma y trata e interpretar todo como código, cuando en realidad no lo es.

Como te dije antes, pásate por la web de ricardo y bájate tutoriales sobre programas en VB5/6.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

Dawer

#11
5 Agosto 2016, 03:32 AM
He estado leyendo, y una posible opcion para craquear este programa podria ser injertando algo de codigo, usando topo, esto tambien me lo habia sugerido antes Apuromafo, pero lo he buscado por todas partes y no encuentro donde descargarlo.
Alguien seria tan amable de indicarme donde puedo descargar topo, gracias y saludos..

MCKSys Argentina

#12
5 Agosto 2016, 04:18 AM
http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/Q-R-S-T-U/topo12corregido.rar

Ojo con los antivirus, pues lo detectan como virus (al menos lo hacían). Por supuesto, es un falso positivo.

Como nota te aclaro que requiere de experiencia usar topo (en realidad, el inline/la inyección en general): no por el manejo de la herramienta en sí, sino por el código que luego hay que agregar.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

Dawer

#13
6 Agosto 2016, 20:48 PM Ultima modificación: 15 Agosto 2016, 00:57 AM por MCKSys Argentina
Saludos, Haber si alguien me orienta un poco en esto:
estoy tratando de injectar unas pocas lineas de codigo(3) en un ejecutable la cuestion es la siguiente con topo injerte una zona libre en el exe, despues de esto el programa corre con normalidad, pero cuando voy a la zona a iniciar con un JMP a la zona que creo topo, olly al crear ese JMP me crea tambien unos nop que dañan las lineas siguientes. Hay forma de injertar un JMP sin que se alteren las otras lineas de codigo?

y por ultimo si debo reconstruir la zona que se daño al poner un JMP, y la lineas son estas:
0049675A     3B             DB 3B                                    ;  CHAR ';'
0049675B     01             DB 01
0049675C     0B             DB 0B
0049675D     17             DB 17
0049675E     00             DB 00

al estar en la zona de topo como injerto ese mismo codigo que se aprecia en las lineas interiores???? graciass espero que alguien me ayude...

Hola, escribo para agradecer a todos los que me orientaron en mi proposito, hoy estoy muy feliz porque ya lo consegui, asi que doy por teminado este tema, agradezco a todos como ya dije pero en especial a Tincopasan quien me aporto datos valiosos para lograrlo, que la pasen bien. Ecxelente foro.. ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)  ;-)
Imprimir
Ir Arriba Páginas 1 2
Acciones del Usuario