Saltar instrucción molesta...

Iniciado por Eleкtro, 31 Marzo 2014, 19:29 PM

0 Miembros y 1 Visitante están viendo este tema.

Eleкtro

Hola

Desde hace varios años uso el programa Regshot (pero una versión modificada y mejorada para x64 en Ruso de la que se conoce poco), y ...bueno, al darle al botón "comparar" en el programa, este se minimiza y lanza un reporte en una molesta ventana de Internet Explorer (no del navegador por defecto, sino específicamente del IE), además lanza el mismo reporte en el Notepad.exe (no en editor por defecto, sinó el Notepad).

Lo que necesito es, saltar la instrucción que hace que el programa se minimice a la barra de tareas, y también saltar la instrucción que hace ejecutar el IE, la del Notepad la quiero dejar como está, pero es que me molesta mucho que me lo quiera mostrar también en el IE y encima se minimice.

EDITO: Se me olvidaba comentar, que el programa no dispone de ninguna opción para customizar esos aspectos, por eso intento hacerlo a lo bruto.

El problema es que intento examinar el exe y el PEid me dice que no tiene una cabecera PE válida asi que no me da ningún dato del exe, lo he intentado con el PE explorer pero este no soporta x64, así que no puedo daros ninguna información al respecto sobre con que lenguaje fue compilado... de lo que estoy seguro es de que no es un ensamblado .NET porque el Reflector no lo reconoce como tal.

Como no tengo el source de este programa (de esta versión en x64, no la del Regshot de Sourceforge) y la web está muerta pues... solo me queda intentar hacerle ingenieria inversa al archivo.

Si alguien tiene tiempo para orientarme sobre el proceso en el OllyDbg x64 2.01 o mejor aun, si alguien tiene tiempo para encontrar y saltar esas dos instrucciones que me interesan (considero que con los datos proporcionados debe ser cuestion de minutos para un experto)... cualquier info para avanzar, se lo agradeceria mucho.

EDITO 2: El olly no me abre el exe, asi que me recomendaron buscar (al menos para tenerlas localizadas) las instrucciones con el CheatEngine, pero no me vi capaz de encontrar nada, así que luego estuve buscando algún debugger para x64, encontré esto y esto otro pero se distribuyen solo el código fuente, hay que compilarlo y no tengo lo necesario para hacerlo.

EDITO 3: Ahora me estoy descargando por torrent el IDa Pro y el W32DASM x64 (que pesa lo suyo) que se supone que soportan un binario x64... ya veremos si consigo algo con esto.

EDITO 4: Con el IDA Pro encuentro la instrucción del IE pero ninguno de los que hemos estado investigando el modo de cambiar el opcode o noopear hemos conseguido hacerlo xD, es un programa complejo, en fin, que no se diga que no lo he intentado.

El EXE: http://www.mediafire.com/download/12ac3ep47w24mhs/Regshot.rar

Saludos!








MCKSys Argentina

Sin la ejecucion del IE: multiupload

PD: Para depurar, usé nanomite: nanomite

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Gh057

jajajaaa y no llegué...! recién pude hacer andar de manera coherente el edb en linux, igual ya pruebo a ver si me corre bien el nanomite como el olly en wine; gracias por la info MCKSys, saludos
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...

Eleкtro

Cita de: MCKSys Argentina en  1 Abril 2014, 02:16 AM
Sin la ejecucion del IE: multiupload

Muchas gracias por tu tiempo, ¿pero sería mucho pedir que explicases como pudiste encontrar la instrucción?, ahora debo buscar la instrucción donde se minimiza el programa y seguramente esté cerca de la dirección que hayas manipulado... ¿podrias indicarmelo? :P

Un saludo y gracias a los dos!








MCKSys Argentina

Cita de: Eleкtro en  1 Abril 2014, 03:58 AM
¿pero sería mucho pedir que explicases como pudiste encontrar la instrucción?

Abrí el EXE con IDA, busqué el string con el que ejecuta el notepad y me fijé las funciones que llaman a esa.

Después usé nanomite para debugear y encontrar el lugar a parchear, haciendo algunas pruebas (no tengo mucha experiencia en X64  :P ).

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."