Offsets con el olly

Cleantesdeasso · 1 Agosto 2010, 16:43 PM

Muy buenas.
Estaba siguiendo los pasos de un tutorial que encontre en una revista (hack&crack no me acuerdo q numero), habilitar/deshabilitar el regedit. Era solo un ejercicio por asi decirlo, pero al no tener una de las herramientas q utilizaban en dicho paper, decidi q con el olly seria capaz de encontrar los offsets q me hacian falta para completarlo con exito. No obtuve resultados, ya q no fui capaz de encontrar lo q (creo) debia buscar, me lie y no dormi, etc. Ahora por cabezon quiero hacerlo solo con el olly si fuera posible, antes q con el otro soft q usaban en la revista. Mis preguntas: donde miro los offsets? Porq no sale nada en references? No hay una manera de sacar los offsets teniendo las direcciones de memoria?
Muchas gracias por leer, y espero q alguien pueda darme un empujon q estoy un poco perdido y fascinado a la vez.

Mintaka · 2 Agosto 2010, 01:17 AM

Hola.
Siempre suponiendo que no esté empacado:
Cuando cargues el ejecutable en Olly y éste se detenga en el Entry Point, le das a ALT+E y verás los "Executable modules".
Tu programa se sitúa siempre en la dirección base 00400000.

Executable modules, item 0
Base=00400000
Size=00483000 (4730880.)
Entry=005BED84 <Grrr.start>
Name=Grrr
File version=5.0.0.123
Path=X:\Archivos de programa\Grrr\Grrr.exe

Lo seleccionas --->botón derecho --->View executable file y ahí te lo saca con offsets (presenta la dirección base a cero).
A partir de aquí puedes buscar los bytes que te interesan mediante CTRL+B.
Suerte,

Mintaka

Cleantesdeasso · 2 Agosto 2010, 14:29 PM

Gracias Mintaka, el olly es mucho mas complejo de lo q creia. Ahora he sido capaz de ver los datos en hex, supongo q poco me faltara para poder editarlos...
Aunque tengo un problema todavia, y es q al modificar el valor en hex de JE ( jump if equal, creo q era, ahora lo miro q esta en la otra makina con la k estoy probando), sigue dandome el mismo problema. Segun tengo entendido, deberia cambiar el valor hex "74", por "eb", para q no salte y pueda correrlo normalmente, pero ya cambie todos los offsets y sigue igual... algun consejo/idea/animo?
Gracias de nuevo por contestar, y a ver si con paciencia y saliva soy capaz de reparar esto.

MCKSys Argentina · 2 Agosto 2010, 15:13 PM

Si quieres cambiar el salto, deberías cambiar 74 x 75 (JE x JNE).

Saludos!

Cleantesdeasso · 2 Agosto 2010, 18:55 PM

Oh! Gracias MCKsys, como podras observar no tengo mucha idea de lo k estoy haciendo, pero supongo q como todas las cosas de esta vida, hasta q no desarmas las cosas y vuelves a armarlas, no te enteras de lo k realmente ocurre...
75 se corresponde con JNE, q vendria a ser, jump i f not equal? Y EB (en hex) entonces q siginifica?? Yo creia q ese valor se correspondia con JNE, total, cada vez estoy mas confuso...
Gracias por la aclaracion, a ver si ahora pasa algo ( modifike todos los valores 74 por eb, pero ahora q me decis esto, volvere a hacerlo uno por uno e ir probando con 75)

bizco · 2 Agosto 2010, 19:29 PM

EB es jmp, pero jmp N donde N es el numero de bytes.

MCKSys Argentina · 2 Agosto 2010, 19:40 PM

Aqui tienes la referencia (por supuesto, en su idioma original

): http://www.intel.com/software/products/documentation/vlin/mergedprojects/analyzer_ec/mergedprojects/reference_olh/mergedprojects/instructions/instruct32_hh/vc145.htm

Saludos!

apuromafo CLS · 3 Agosto 2010, 00:19 AM

eso es para cambiar un salto, tambien es posible aveces forzarlo mas

je a jmp
o
je a NOP

igual los offset son direcciones, entender que cambiar, es lo que se aprende, te sugiero que leas el curso de ricardonarvaja, cuando termines lee este mismo toppic y creo que tu mismo vas a decir la respuesta.

saludos Apuromafo Cls

Cleantesdeasso · 10 Agosto 2010, 14:27 PM

Muchas gracias por vuestra ayuda, se agradece explicaciones tan claras. A ver si saco un poco de tiempo/ganas y continuo con los experimentos, q hay mucha tela q cortar... Salute cumpas!