Saludos a todos,
Bueno, como recien estoy empezando en esto de la Ingenieria Inversa, y tengo muchas dudas. Pues que mejor
que este foro para exponerlas y me den solución o ayuda con dichas dudas...
He leido algunos tutes y en ellos se habla de hacer un injerto a unas lineas de ejecución ya se sea en un *.EXE o *.dll ...
Por ejemplo: A estas lineas
00195E60 R>/$ 56 PUSH ESI
00195E61 |. 57 PUSH EDI
00195E62 |. 8B7C24 0C MOV EDI,DWORD PTR SS:[ESP+C]
00195E66 |. 85FF TEST EDI,EDI
00195E68 |. 75 09 JNZ SHORT Sx32w.00195E73
00195E6A |. 66:B8 1000 MOV AX,10
00195E6E |. 5F POP EDI
00195E6F |. 5E POP ESI
00195E70 |. C2 0C00 RETN 0C
agregarle las lineas del injerto.
00195E60 R>/$ 56 PUSH ESI
00195E61 |. 57 PUSH EDI
00195E62 |. 837C24 10 08 CMP DWORD PTR SS: [ARG.2],8
00195E67 |. 0F85 0E00000 JNE 10005E7B
00195E6D |. 8B7C24 14 MOV EDI,DWORD PTR SS:[ARG.3]
00195E71 |. 66:C707 1000 MOV WORD PTR DS: [EDI],10
00195E76 |. E9 460000000 JMP 10005EC1
00195E7B |. 837C24 10 1C CMP DWORD PTR SS:[ARG.2],10
00195E80 . 0F85 0E00000 JNE 10005E94
.........................................
.........................................
.........................................
.........................................
00195EC5 |. 5F POP EDI
00195EC6 |. 5E POP ESI
00195EC7 |. C2 0C00 RETN 0C
En el tute se muestra asi...
He intentado hacer lo mismo.. pero la verdad, no he podido. Es por eso que les pido me orienten en como hacerlo.. usando ollydebug 1.1 o el olly_2...
Gracias.
¿A qué programa te refieres?
Porque esas direcciones me huele a que han sido desempacadas y tal vez no estén dentro del ejecutable.
Es verdad... no están dentro del ejecutable...sino en una *.dll..
y esta dll se carga en tiempo de ejecución..... ya que usa las APIS (que estan en esa dll) para interactuar con el dongle(pastilla) y el programa.... el programa usa como protección la llave SENTINEL_SUPERPRO_ y la dll es SX32W.dll, sx32W-6-3.dll .....
Bueno... ya le di solución a lo que buscaba.... y si encuntro algo que no dificulte avanzar, pues lo hare saber...
Salud-2