editor pe para encabesados

qwerty_crack · 24 Junio 2007, 20:01 PM

vi sobre que un editor pe se puede editar las cabeseras del archivo pe para crackearlo sin tener que cargarlo en memoria esto es aci, porque quisiera saber algo de esto de modificar en cabesados..........................

karmany · 24 Junio 2007, 20:25 PM

Hay que tener mucho cuidado al modificar el encabezado de un archivo sin saber. Mira te dejo unos muy buenos enlaces que explican el PE header de maravilla:

Descripción del PE por Luevelsmeyer: (Copiar y pegar la dirección en el navegador):
ftp-developpez.com/olance/articles/windows/pe-iczelion/luevelsmeyer.zip

Sobre PE:
http://www.espavirus.com/articulos/formato_pe_3.htm

tute de Izcelion en Francés (ya que lo entiendo bastante bien)
http://olance.developpez.com/articles/windows/pe-iczelion/

tute de Izcelion en Inglés:
http://win32assembly.online.fr/tutorials.html

Descabezando archivos ejecutables portables por nuMIT or:
http://viperk.iespana.es/docs/numit.htm

De Microsoft
http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/pecoff_v8.doc

De la web de Ricardo.
   44-ESTUDIO DE LOS ENCABEZADOS PE (parte 1) POR SICK TROEN
   48-ESTUDIO DE LOS ENCABEZADOS PE (parte 2) POR SICK TROEN
   estudios sobre las cabeceras AE
   estudios sobre las cabeceras AE-2
   concurso11 nivel_02

Como editores del PE header tienes estos programas:
LordPE Deluxe:
http://www.ech2004.net/download.php?archivo=59&tipo=h

PEeditor 1.7:
http://www.ech2004.net/download.php?archivo=54&tipo=h

PE voyeur:(éste es el que más me gusta...)
http://www.ech2004.net/download.php?archivo=75&tipo=h

qwerty_crack · 25 Junio 2007, 01:53 AM

y solamente editores pe se pueden usar.. o se puede usar otras cosas para editar las headers..

tena · 25 Junio 2007, 06:39 AM

a la miercoles
te pasaste con el tute en frances jeje
von yua
Tena

karmany · 25 Junio 2007, 06:44 AM

¡Hola tena!... jeje entiendo bastante bien el francés...mucho mejor que el inglés.

-----------
El mismo OllyDBG tiene una opción para ver el encabezado en la ventana del "DUMP"(botón derecho --> Special-PEheader) lo modificas y lo guardas.

Pero puedes modificarlo con cualquier editor hexadecimal que quieras. Lo que pasa que un editor de PE pues ya te dice exactamente qué es cada byte y no tienes que andar buscándolo.
Imagina por ej. que quieres dar permisos de escritura a una sección... con uno de esos 3 editores que te he puesto se puede hacer en menos de cinco segundos, sin embargo, con un editor hexadecimal pues a empezar a contar bytes etc... mucho más trabajo.

Un saludo

qwerty_crack · 26 Junio 2007, 15:12 PM

entonces un archivo comprimido lo puedo manejar directamente si modifico elencabesado, y no es necesario usar el volcador osea sin tenerlo en memoria es cierto ?

karmany · 26 Junio 2007, 21:45 PM

No te entiendo muy bien lo que quieres hacer...

Mira en tu pregunta, en el título pones "editor pe"... yo entiendo PE = portable executable. Pienso que preguntas sobre esto y que como te he puesto en los enlaces es el formato nativo de las aplicaciones de 32 bits bajo Windows..

Entonces tu pregunta:
-¿Un archivo comprimido lo puedo manejar directamente si modifico el encabezado?
un archivo comprimido creo que te refieres a: una aplicación en Windows a 32 bits que haya sido comprimido con un compresor, por ejemplo con UPX.

No sé qué quieres decir con "manejar directamente". Porque el encabezado lo puedes modificar y según lo que modifiques pues el programa puede no ejecutarse correctamente y seguramente dé error de "no es una aplicación Win32 válida".

No sé de dónde has sacado la idea, tal vez has leído algún tute donde comentan esto... si tienes el enlace en donde lo has leído, pónlo y así lo analizamos y vemos qué quiere decir con "manejar directamente el archivo modificando el encabezado".

PD. otra cosa es que no hablemos de aplicaciones Win32.

Shaddy · 26 Junio 2007, 23:19 PM

Cita de: qwerty_crack en 26 Junio 2007, 15:12 PM
entonces un archivo comprimido lo puedo manejar directamente si modifico elencabesado, y no es necesario usar el volcador osea sin tenerlo en memoria es cierto ?

perdona pero creo que te estas liando, de verdad lee el tutorial y luego haz las preguntas, no es por ser bruto pero de verdad creo que si no asientas los conocimientos corres el riesgo de liarte. Suerte

.

Salu2...

qwerty_crack · 15 Julio 2007, 21:22 PM

estuve leyendo el tuto, comprendo lo que dicen pero yo lo que quiero significar es que de la forma para intentar crackear un archivo PE, por ejemplo con un editor PE modificar el encabesado para poder crackearlo sin necesidad de cargarlo en memoria.... es decir que el archivo compresado se descomprima en memoria...
esto es lo que quise que me aclararan..

Shaddy · 16 Julio 2007, 15:13 PM

Cita de: qwerty_crack en 15 Julio 2007, 21:22 PM
estuve leyendo el tuto, comprendo lo que dicen pero yo lo que quiero significar es que de la forma para intentar crackear un archivo PE, por ejemplo con un editor PE modificar el encabesado para poder crackearlo sin necesidad de cargarlo en memoria.... es decir que el archivo compresado se descomprima en memoria...
esto es lo que quise que me aclararan..

el encabezado solo da información sobre los tamaños de las secciones el tamaño del archivo el punto de entrada y cosas así, para poder descomprimirlo sin cargarlo tienes que emular la descompresión es decir los comandos que utiliza (xors, ror, shl, etc..) que les hace a los bytes.. y para que emularlo a mano sabiendo que el mismo programa lo hace, lo mejor es que lo haga el mismo ya que lo hace para que volverte loco perdiendo el tiempo no?

Salu2..

P.D: la mayoría de los unpackers cripters para poder funcionar necesitan desencriptarse, al menos parcialmente.