Re posicionar un call near?

.:UND3R:. · 13 Septiembre 2011, 19:31 PM

a través de qué fórmula puedo saber que valores HEX debe tener un call en el dump (después de E8) me explico

si copio y pego un call en otra dirección no funciona ya que apunta a otra dirección y no a la que apuntaba estando en la posición original, no sé si se entiende

Saludos

Иōҳ · 13 Septiembre 2011, 21:40 PM

Claro, tienes que poner el desplazamiento que hay desde el call hasta el procedimiento que quieres llamar, date cuenta que cuando vez los opcdes de un CALL, acaso vez la dirección?, que crees que es... has la prueba sea negativo o positivo ese desplazamiento, sumalo y veras a donde te lleva.

Nox

MCKSys Argentina · 13 Septiembre 2011, 22:01 PM

Para evitar todos los calculos, transforma el CALL en un PUSH+RET.

Por Ej.:

CALL 123456

es igual que

PUSH 123456
RET

El unico problema es que necesitas 1 bytes mas...

Иōҳ · 13 Septiembre 2011, 22:56 PM

Cita de: MCKSys Argentina en 13 Septiembre 2011, 22:01 PM
El unico problema es que necesitas 1 bytes mas...

Eso, tienes que tener cuidado de que no pises demás bytes, que si no je..

Nox

.:UND3R:. · 14 Septiembre 2011, 01:21 AM

Muchas gracias de todas formas el método de MCKSys Argentina no me sirve en esta ocasión pero si lo guardaré para otra circunstancia que que lo encontré muy llamativo

Иōҳ, no logro dar con el call :S te comentó:

Está es la posición correcta en donde hay dos call que quiero copiar:

Citar00890E97 C1E8 10 SHR EAX,10
00890E9A A3 28E64500 MOV DWORD PTR DS:[45E628],EAX
00890E9F E8 FC84B9FF CALL UnPackMe.004293A0
00890EA4 85C0 TEST EAX,EAX
00890EA6 75 0A JNZ SHORT 00890EB2
00890EA8 6A 1C PUSH 1C
00890EAA E8 B164B9FF CALL UnPackMe.00427360

si en la primera call coloco follow in dump me muestra lo siguiente:

Citar00890E9F E8 FC 84 B9 FF

Si copio todo en otra ruta me aparece lo siguiente:

Citar0042923E A3 28E64500 MOV DWORD PTR DS:[45E628],EAX
00429243 E8 FC84B9FF CALL FFFC1744
00429248 85C0 TEST EAX,EAX
0042924A 75 0A JNZ SHORT UnPackMe.00429256
0042924C 6A 1C PUSH 1C
0042924E E8 B164B9FF CALL FFFBF704

No logro entender muy bien

.:UND3R:. · 14 Septiembre 2011, 01:22 AM

Si me explicaran la fórmula o el método para poder saber el valor que debe tener el call se los agradecería,ya que quiero aplicarlo a un script por que son muchas call a modificar, muchas gracias

MCKSys Argentina · 14 Septiembre 2011, 02:55 AM

1) Obtienes la direccion donde esta el CALL (890E9F)
2) Obtienes los bytes del CALL (FC84B9FF)
3) Inviertes los bytes del CALL (FFB984FC). Asi obtienes un nuemro que puede ser positivo o negativo.
4) Le sumas a la direccion de 1) los bytes invertidos.

Listo. Ya tienes la VA de la funcion...

Saludos!

Ah! Sumale 5 (los bytes que ocupa el CALL)

.:UND3R:. · 14 Septiembre 2011, 04:19 AM

Me ha funcionado de maravilla. una cosa más me podrías explicar un poco más detallada la fórmula? (Quiero saber que es lo que hago)

Citar1) Obtienes la direccion donde esta el CALL (890E9F)
2) Obtienes los bytes del CALL (FC84B9FF)
3) Inviertes los bytes del CALL (FFB984FC). Asi obtienes un nuemro que puede ser positivo o negativo.
4) Le sumas a la direccion de 1) los bytes invertidos.

Listo. Ya tienes la VA de la funcion...

Saludos!

Ah! Sumale 5 (los bytes que ocupa el CALL)

Muchas gracias

Иōҳ · 14 Septiembre 2011, 06:47 AM

Cita de: MCKSys Argentina en 14 Septiembre 2011, 02:55 AM
1) Obtienes la direccion donde esta el CALL (890E9F)
2) Obtienes los bytes del CALL (FC84B9FF)
3) Inviertes los bytes del CALL (FFB984FC). Asi obtienes un nuemro que puede ser positivo o negativo.
4) Le sumas a la direccion de 1) los bytes invertidos.

Muy bueno

, yo lo hago de otra forma (creo, je... tengo que revisar el code que tengo por ahí para acordarme)

EDITO:
Ve, no vi esto, ya lo iba acotar.

Cita de: MCKSys Argentina en 14 Septiembre 2011, 02:55 AM
Ah! Sumale 5 (los bytes que ocupa el CALL)

Esto nunca yo lo supe tan solo me puse a ver como era esto del call y jmp, y a lo ortodoxo saque la forma de hacerlo, y luego me di cuenta de los 5 bytes del call o jmp :B, tan solo es cuestion de ser observador

.

Pd: en este tiempo no tenía internet, todo lo hacía con lo que sabía y tenía a la mano y que era muy poco

.

Nox.

MCKSys Argentina · 14 Septiembre 2011, 18:29 PM

Cita de: .:UND3R:. en 14 Septiembre 2011, 04:19 AM
Me ha funcionado de maravilla. una cosa más me podrías explicar un poco más detallada la fórmula? (Quiero saber que es lo que hago)

El tema es que los JMPs y los CALLs son relativos a la posicion en la que estan.

Siguiendo tu ejemplo, tienes un CALL:

Código [Seleccionar]


00890E9F    E8 FC84B9FF     CALL UnPackMe.004293A0

Como vez Olly te decodifica ya la direccion a la que saltara/llamara el CALL, pero si lo ves a nivel de BYTES, el valor que tiene el opcode de CALL (E8) es FFB984FC. Este valor es la distancia en bytes desde esa posicion (00890E9F) al inicio del CALL en si (4293A0).

Ahora, para calcular efectivamente la direccion, deberas sumarle a la direccion donde esta el CALL, el valor de "distancia" y ademas la cantidad de bytes que ocupa la instruccion CALL...

Eso es todo