Duda parte 54 Ricardo narvaja tabla TLS CALLBACK

Iniciado por .:UND3R:., 23 Julio 2011, 19:08 PM

0 Miembros y 2 Visitantes están viendo este tema.

.:UND3R:.

Hola a todos bueno tengo una duda con esa parte y es que Ricardo comenta sobre
CitarTLS CALLBACK
, nos dice como encontrarla con ollydbg(PE-HEADER) o con un PE Editor también nos dice que se puede poner un bp directamente en ella en las opciones del pluguins ollyadvance |v|TLS CALLBACK

pero mi dudas son las siguientes:

1)¿para que sirve esta tabla?
2)Si el unpackme que se estaba analizando se requería que se iniciara desde system breakpoint, al estar detenido ahí por qué debe luego detenerse en TLS CALLBACK para luego poner un bpm on execution en la sección code? no sería mejor detenerse en breakpoint system y luego desde ahí poner un bpm  on execution en la sección CODE?

Muchas gracias por leer

Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

tincopasan

soy muy malo para los packers, y ese tutorial no lo vi, pero las tls callback son porciones de código que se ejecutan antes del Ep, execryptor por ejemplo tiene antes del Ep rutinas que detectan si tenes un bp puesto y te saca, detenerse en las tls te da la dirección para llegar al ep y no ser detectado por ejemplo. Es común poner código en las tls para antidebugger! o anti bp he etc!

.:UND3R:.

Algo he entendido de todas formas gracias, pero habrá algo más específico?

Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

karmany

Hace unos días The Swash hizo un tutorial sobre las TLS CALLBACK que colgué en mi Web por si te sirve:
Tutorial TLS CALLBACK por The Swash

.:UND3R:.

Lo leeré detalladamente

Saludos y muchas gracias

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

.:UND3R:.

Ahora me surge el problema de que al estar ubicado en la TLS CALLBACK borro todos los bp y pongo un bpm on execution pere este lleva horas y todavía no se detiene

Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

_Enko

Puedes poner un bp normal, solo que tienes que saber donde esta la funcion callback.
Si sabes que esta por ejemplo en 403044, haces bp 403044 y listo.

.:UND3R:.

Creo que se mal escribí mi pregunta me refería para encontrar el OEP no el TLS CALLBACK es decir me encuentro en el TLS CALLBACK detenido en el pero al estar ahí cuando pongo un bpm execution este a la sección code, este no se detiene nunca

Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

_Enko

Cuando salgas del TLS callback, no vas a aterizar en el OEP, sino en el EP.
El metodo de buscar OEP siguen siendo los mismos de siempre, la unica diferencia, que por ejemplo el VirtualAlloc, o VirtualProtect este antes del EP en el TLS.