Herramientas y/o tutos para aplicaciones x64 ?

Iniciado por TaU, 15 Marzo 2010, 01:34 AM

0 Miembros y 3 Visitantes están viendo este tema.

TaU

Hola a todos,

A pasado mucho tiempo desde la ultima vez que me pasé por aquí... :P

El caso es que ando buscando información para hacer Ingeniería Inversa en sistemas de 64 bits. Agradecería cualquier información al respecto tanto en tutoriales como en herramientas.

Por cierto, he leído en algún sitio que hay una manera de usar el Olly en entornos x64. Podría ser cierto algo asi?


Un saludo.
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres
Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán.
www.wadalbertia.org  -<|¡^P

MCKSys Argentina

No conozco mucho del tema, pero, para empezar podrías bajarte IDA 5.2 el cual viene en 32 y 64 bits.

Por tutes, podrías probar en tuts4you...
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


TaU

Muy buena la web de tuts4you, pero no consigo encontrar nada de x64 ahi... Aunque voy a seguir intentándolo porque la web es extensa de cojones y no estoy seguro de haber buscado en todos los huecos...

En cuanto al IDA... preferiría evitarlo, me siento mucho más comodo con el Olly...

Acerca de lo que vi en otra web para hacer funcionar el Olly en apps x64, se trata del siguiente script posteado aqui por uber.core:

CitarAh well to all of you who think you cant use ollydbg in a Vista x64 Enviroment the biggest noob of all would like to prove you wrong. I have a script that bypasses the error I was getting and once loaded, all you have to do is use the "trace into" button and happy cracking!   Just put this in your ollys script folder! I recommend getting the CrackersKit! Since I'm not sure if there are any dependancies on the Scripts folder itself.

copy and paste this:

// Get address of api to patch away
gpa "ZwSetInformationThread", "ntdll.dll"

// Store it in eax
mov eax, $RESULT

// Write the 'retn 10, nop' at beginning of api
mov [eax], #c2100090#

// Let program run until first exception
run

// Just step into exception twice
esti
esti

// Now step over it and let the program execute...
esto

// ... until it breaks at EP.
cob

// Place a nice comment there. Now we SHOULD be at EP.
cmt eip, "[ POSSIBLY PROGRAM'S ENTRY POINT ]"

-Then save it in notepad with the file extension .osc -


"Noob'n It Since Windows ME"

Como dice ahi arriba, recomienda usar el CrackersKit para asegurar que funciona ya que no se acuerda de si alguna utilidad de ese script pertenece al Kit.

Nunca he usado plugins o scripts en Olly, asi que no tengo ni idea de si esto va a funcionar o no. Parece que ha llegado el momento de aprender a usarlos :)

Por cierto, al parecer hay un dbg nuevo en escena vagamente similar al Olly que si que funciona en x64 de modo nativo, es el Feryno. Voy a ver si aclaro con él también...

A ver si encuentro algun tuto para los scripts de Olly y para el Feryno...


Saludos
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres
Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán.
www.wadalbertia.org  -<|¡^P

TaU

#3
Vale, creo que despues de leer un rato por ahi voy entendiendo un poco más de que va este script de Olly. Parece ser válido para debuggear aplicaciones x32 en entornos x64, no sirve para apps x64.

Además hay mejores herramientas que esa para hacer lo mismo también con Olly pero sin usar el OllyDBGScript, por ejemplo el Sealth64 1.2 o el Olly Advanced 1.27.

El caso es que no se si me he vuelto gilipollas de repente o es que no va la web de tuts4you, pero no he sido capaz de bajarme ninguno de los tres plugins de Olly que os he puesto desde esa web... Siempre que le doy a descargar me redirige a la sección de buscar... Alguien más lo ha probado?

Edit:
Vale, efectivamente me habia vuelto gilipollas de repente... ya funciona la descarga...
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres
Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán.
www.wadalbertia.org  -<|¡^P

TaU

Bueno, ya le he hechado un vistazo al Feryno y aunque parece que va muy fino en entornos x64 lo veo a años luz del Olly en cuanto a funcionalidad, al menos asi a primera vista...

Total, que ajo y agua...

La buena noticia es que con el Stealth64 1.2 para Olly puedo debuggear sin ningun problema en mi Vista x64 las apps de x86.

El Olly Advanced efectivamente tambien te da la opción de compatibilidad con x64, pero no me ha hecho falta probarlo.

Lo dicho, si alguien sabe de algun buen tuto para Feryno o IDA version x64 lo agradecería.


Un saludo.
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres
Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán.
www.wadalbertia.org  -<|¡^P