Ollydbg+(F9)ejecución de programas

Iniciado por FREERIDER, 18 Abril 2005, 16:00 PM

0 Miembros y 2 Visitantes están viendo este tema.

FREERIDER

Hola de nuevo

No he sido capaz de sintetizar mejor mi pregunta en el titulo del post.

a ver...

Me refiero a que cuando trabajo con crackme's utilizando ollydbg, cuando pulso F9, el programa se ejecuta, relleno el registrarse... (en otras palabras al ejecutar F9 me aparece el programa en pantalla)

Bueno y porque todo ese rollo que todo el mundo ya sabe? Pues porque aquí viene mi duda :

¿¿Porque con segun que programas al Pulsar F9, se ejecutan pero no se me aparecen en pantalla?? (en consecuencia no puedo rellenar el registrarse y no puedo seguir con el análisis)


Alguien me puede dar alguna pista para entenderlo?


Gracias



P.D.Si alguien no entiende a lo que me refiero, que intente por ejemplo, ejecutar con F9 el programa dvd2ppc 2.0, entre muchos otros.

Slasher-K

Quizà tenga protección antidebugger y se cierra. Esta protección generalmente es mediante la función IsDebuggerPresent y existe un complemento para el olly que hace que no detecte el debugger.

Saludos.



A la reina de las profundidades que cuida los pasos de una sombra en la noche :*

FREERIDER

Antes de nada, gracias por responder a mi pregunta.



En segundo lugar cuando dices :

<<Quizà tenga protección antidebugger y se cierra>>

te refieres a si tiene alguna protección tipo Aspack, Upx,etc...?


1-De ser asi, el PEiD v0.91 me dice "Nothing found" ;

[[ que por otro lado, aprovecho y también pregunto: ¿es normal que diga nothing found? ¿no tendria que poner el lenguaje en que está hecho el programa? (ej:VB6)  ]]

2-Si en cuanto a protección antidebugger no te refieres a protecciones tipo Aspack, Upx,etc... ¿a que te refieres? Desconozco este nuevo aspecto.
¿Me puedes dar alguna pista y asi sabré que buscar por internet para informarme al respecto?




Muchas gracias


P.D. Animo a todo aquel que sepa alguna respuesta que me de una ayudita.

shoulck

Citar¿¿Porque con segun que programas al Pulsar F9, se ejecutan pero no se me aparecen en pantalla?? (en consecuencia no puedo rellenar el registrarse y no puedo seguir con el análisis)

Que kieres decir con que se ejecutan pero no aprecen en pantalla?
El programa sigue en ejecución o se cierra cuando pulsas F9

FREERIDER

A ver si me puedo hacer entender:


1-Abro el Olly y cargo el programa
2-Se ven como es normal las distintas ventanas y su valores y codigos
3-Si pulso F9, se ve como se van moviendo los valores y codigos (digo yo porque se estará ejecutando el programa verdad?)

LA PROBLEMATICA ES :

Que si, se ve movimiento en pantalla,cuando pulso F9, pero no me aparece el programa para poner el serial de prueba y poder seguir para encontrar el correcto.Simplemente no aparece, y no entiendo el porque.


Si lo hiciera con un crackme, al pulsar F9,se me apareceria el crackme, le pondria el serial de prueba y podria seguir para encontrar el verdadero, cosa que no puedo con dicho programa porque ni se me aparece en panalla


Se entiende más ahora mi duda?

Ðevastador

Pues pued ser lo que te dijo Slasher Keeper y tenga protección AntiDebugger. Eso es fácil de pasarlo por encima.
Ahora bien, puede que tenga una protección creada por el programador para que cierre especialmente algunos programas, si es así, ya tienes problemas más serios.

FREERIDER

Dices que en caso de que tenga una protección antidebugger es facil pasarlo por encima.

He estado buscando por internet i no he encontrado casi nada al respecto.
Te agradeceria, que si supieras alguna web dónde pongan información,manuales...de como pasar dicha protección antidebugger, me la postearas.


Gracias

pERICOTE

El plugin del Olly que te puede servir para burlar la proteccion antidebugger se denomina IsDebugPresent (IsDebug.dll) una vez descargado en el directorio correspondiente aparecera activo la barra del Olly, bastando con clikar en "Hide" para que la magia surta efecto. Debes tener presente que cada vez que reinicies el olly (Ctrl+F2) sera necesario activar nuevamente el "Hide". ;D

4rS3NI(

Buenas, 1º si el peid te dice nothing found puede ser que este empacado y que el packer no este en la base de datos. 2º una rutina antidebugger es la que se encarga de detectar la presencia de un debugger, y modificar el comportamiento del programa (no necesariamente tiene que estar empacado, pero es verdad que algunos packers incluyen rutinas pa eso). Para saltarte la Protección mediante la llamada a IsDebuggerPresent, pues pones un bp en la funcion esa, traceas un poco y cambias el valor que devuelve en el registro por 0 (que es básicamente lo que hace el plugin).