Punto h y procesos falsos!

Iniciado por =AzTLaN=, 11 Mayo 2004, 08:41 AM

0 Miembros y 1 Visitante están viendo este tema.

=AzTLaN=

Oigan alguien podria mandarme un tutorial de punto h y procesos falsos? y tambien solicito algun plugin para ocultar el olly dbg estoy crackeando un programa de izhal xD!! dice algo acerca de un plumero alguien sabe de que se trata?? ;D ;D
=Vale La Pena Vivir En La Tierra=

Shaddy

Cita de: =AzTLaN= en 11 Mayo 2004, 08:41 AM
Oigan alguien podria mandarme un tutorial de punto h y procesos falsos? y tambien solicito algun plugin para ocultar el olly dbg estoy crackeando un programa de izhal xD!! dice algo acerca de un plumero alguien sabe de que se trata?? ;D ;D

Punto H...

http://ricnar456.no-ip.org

procesos falso... N.P.I no me he visto en esa situación :|... como no sea con armadllo ¬¬...

Para ocultarlo...

akí te dejo la definicion de IsDebuggerPresent xD

The IsDebuggerPresent function indicates whether the calling process is running under the context of a debugger.
This function is exported from KERNEL32.DLL.

BOOL IsDebuggerPresent(VOID)

Parameters

This function has no parameters.

Return Value

If the current process is running in the context of a debugger, the return value is nonzero.
If the current process is not running in the context of a debugger, the return value is zero.

Remarks

This function allows an application to determine whether or not it is being debugged, so that it can modify its behavior. For example, an application could provide additional information using the OutputDebugString function if it is being debugged.

----------------------------------------------------------------------

en cristiano quiere decir que al llamar a IsDebuggerPresent devuelve un byte como respuesta de si está activo o no el Debugger... osease, si el proceso ta debugeandose... solo tienes que hacer que el parámetro de vuelta en EAX (registro stándar pa kasi todas las API xD) vuelva con el valor X que hace que piense que no hay debugger...
Salu2...
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

=AzTLaN=

 ??? ???

Y eso de donde lo bajo??
que es eso de armadillo??
esta muy complicado, por que al ejecutar el programa sale un mensaje de error que te dice que...bueno ya lo dije arriba, y el codigo cambia, si lo vuelves a ejecutar sale un mensaje de error que traba el proceso (mensaje de windows) y ya no se puede hacer nada y de nuevo cambia el codigo  ??? ??? ???
Alguien sabe de lo que hablo?
baje un plugin que dice una opcion "hide debbuger" la presiono o la activo como quieran decir...ejecuto el programa y me sigue saliendo el mismo mensaje.  ??? ??? que debo de hacer?? ;D ;D
=Vale La Pena Vivir En La Tierra=

Shaddy

Cita de: =AzTLaN= en 19 Mayo 2004, 16:12 PM
??? ???

Y eso de donde lo bajo??
que es eso de armadillo??
esta muy complicado, por que al ejecutar el programa sale un mensaje de error que te dice que...bueno ya lo dije arriba, y el codigo cambia, si lo vuelves a ejecutar sale un mensaje de error que traba el proceso (mensaje de windows) y ya no se puede hacer nada y de nuevo cambia el codigo  ??? ??? ???
Alguien sabe de lo que hablo?
baje un plugin que dice una opcion "hide debbuger" la presiono o la activo como quieran decir...ejecuto el programa y me sigue saliendo el mismo mensaje.  ??? ??? que debo de hacer?? ;D ;D

hay varias maneras de detectar una API, la más común es la de IsDebuggerPresent, pero en muchos casos puede ocurrir que tan solo sea una simple comparacion con el proceso activo, y entre ellos esté el OllyDBG... en fin, hay muchas maneras, pero para ello debes mirar PORQUE se genera ese MsgBox... y eso de los procesos falsos, solo lo había visto en armadillo (un packer...) pues creaba un proceso que dependía del otro, k ricardo narvaja los bautizó como Padre e Hijo ... ¬¬...
Salu2...
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

=AzTLaN=

Pues no se el programa es de izhal pero no se como hacerlo, trato de recordar que lo mandaba pero no puedo, era algo asi como ... no recuerdo!!
=Vale La Pena Vivir En La Tierra=

bano

Citarbaje un plugin que dice una opcion "hide debbuger"
no se si te referiras a este, pero weno:
CitarIDPatch v1.0:

   Otro programa inédito, me gusta esto de innovar xD. Lo que hace es modificar en todos los procesos activos la dll Kernel32.dll, injerta un código en el API IsDebuggerPresent para hacerlos creer que hay o no un debugger funcionando (como por ejemplo el OllyDbg). Sólo funciona en Windows 2000 y XP. No existe riesgo de pérdida de datos de ningún tipo; puedes considerar el programa como otra ayudita más para cuando quieras investigar cómo responden los programas a la presencia de un debugger.


lo puedes con seguir en:
http://www.vikt0ry.com/
te sonara vikt0ry no?? XDD
espero que te sirva...