[Script]HBP bypass excepciones

Iniciado por .:UND3R:., 23 Septiembre 2011, 07:14 AM

0 Miembros y 2 Visitantes están viendo este tema.

.:UND3R:.

Hola a todos, les dejo un simple script para aquellos que se inician en esto, consiste en un script para colocar HBP tanto como read access execute, la gran ventaja es que estos HBP son borrados si se producen excepciones con el fin de no ser detectados una vez retomada la excepción se vuelven a colocar:

Código (asm) [Seleccionar]
var AUX
VAR TIPO
var KIUSER
var ZWCONT
var HBP
gpa "KiUserExceptionDispatcher", "ntdll.dll"
mov KIUSER, $RESULT
bp KIUSER
gpa "ZwContinue", "ntdll.dll"
mov ZWCONT, $RESULT
bp ZWCONT
ADDRESS:
ask "Dirección del HBP"
cmp $RESULT, 0
je ERROR
mov HBP, $RESULT
PREGUNTA:
ASK "Tipo de HBP,r-w-x"
MOV TIPO,$RESULT
CMP TIPO, "r"
JE INICIO
CMP TIPO, "w"
JE INICIO
CMP TIPO, "x"
JE INICIO
JMP ERROR2
INICIO:
EVAL "{TIPO}"
bphws HBP, $RESULT
TRABAJO:
eob COMPROBAR
run
COMPROBAR:
cmp eip,KIUSER
je QUITAR
cmp eip,ZWCONT
je BREAKPOINT
cmp eip,AUX
je RESTAURAR
jmp SALIR

QUITAR:
bphwc HBP
jmp TRABAJO

BREAKPOINT:
mov AUX,esp
add AUX,4
mov AUX,[AUX]
add AUX,0b8
mov AUX,[AUX]
bp AUX
jmp TRABAJO
RESTAURAR:
bc AUX
jmp INICIO

ERROR:
msg "Dirección incorrecta"
jmp ADDRESS
SALIR:
msgyn "HBP encontrado,intentar nuevamente?"
cmp $RESULT,1
je INICIO
ret
ERROR2:
MSG "Tipo de HBP incorrecto"
JMP PREGUNTA


Es muy básico por lo que si a alguien se le ocurre alguna idea la integramos de inmediato, Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Tinkipinki

Hola .:UND3R:.
Tienes algun crackme en que hayas aplicado el script para ver como funciona?

Saludos

.:UND3R:.

Son Unpackmes, prueba poner execution en 427B0 OEP sin el script no funcionan


ACProtect:
http://www.megaupload.com/?d=0BJWO39K

PELock:
http://www.megaupload.com/?d=1AETTA1G

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Tinkipinki

Ok, .:UND3R:.  lo pruebo y te comento.

Saludos

.:UND3R:.


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Tinkipinki

Estoy probando el script y creo que no lo se hacer correr correctamente.
Te explico:

1- Cargo el PELock en el Olly
2- Sale la alerta del Entry Point outside....... y le doy Ok.
3- Sale la alerta del Compresed Code ....continue analisis y le doy Ok.
4- Corro el script y le entro la direccion 427B0
5- Entro el tipo de HBP como x sin el guion -x
6 El script va corriendo analizando direcciones hasta que salta una ventana de   
   error Don't know how to bypass command at address 003B33CB ....... y aqui
   se queda parado.

Probando con el ACProtectc solo de ejecutarlo me echa fuera.

Seguro que es problema mio de no saber correrlo pero bueno, ya me comentaras algo... :-[

Saludos

.:UND3R:.

Debes tener plugins para ocultarlo, utiliza OllyAdvance con todo habilitado y lo de la excepción debes añadirla en olly intenta pasar con ctrl+f9 las excepciones
(La idea es que primero puedas lanzar el programa sin problemas, eso es trabajo tuyo jeje, después que puedas lanzarla desde olly. Te pones en el EntryPoint e intentas colocar un HadwareBreakpoint y verás que no te funcionarán y ahí es el momento de usar el script(bypass excepciones es un método que utilizan algunos packer para saber si se han puesto hadwarebreakpoint, cuando se genera una excepción se verifica en la estructura CONTEXT si existen o no hadwarebreakpoint, si es así el programa los barra sigue sin problemas para eso es el script).

Salir

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Tinkipinki

Ok UND3R, problema solucionado.

Saludos

.:UND3R:.


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Иōҳ

Es justo lo que iba hacer... en fin... haber como lo hago yop =/.

Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net