Trial verison...(Regmon)

Iniciado por B@RTY, 10 Julio 2007, 03:11 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2
Acciones del Usuario

B@RTY

#10
12 Julio 2007, 13:53 PM
bueno mas o menos vai avanzando :)

e encontrado el call encriptador y el OEP hijo
ahora llego un punto en el que tengo que nopear el call encriptador
pero no me queda claro.
como voi otra vez donde estaba el call?
i como se nopea?



gracias esto parece que tira aunque aun me queda mucho por delante

salu2 ;)

Shaddy

#11
12 Julio 2007, 15:00 PM
Cita de: B@RTY en 12 Julio 2007, 13:53 PM
bueno mas o menos vai avanzando :)

e encontrado el call encriptador y el OEP hijo
ahora llego un punto en el que tengo que nopear el call encriptador
pero no me queda claro.
como voi otra vez donde estaba el call?
i como se nopea?



gracias esto parece que tira aunque aun me queda mucho por delante

salu2 ;)

cuando le das a ALT + K, vas a el call, y para volver a donde estabas ALT + C (code) que te actualiza a donde estas en el momento, el ALT + K es el CALL STACK que quiere decir los CALL que llamaron, y tu ves quien te llamo, uno llamo el call encriptador y otro el desencriptador. ya lo dice bien en el tute, para nopear simplemente le pones el cursor en la linea le clickeas y escribes "nop" porque automáticamente te pondrá en modificar comando (si no barra espaciadora que es lo mismo).

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

B@RTY

#12
12 Julio 2007, 19:45 PM
pues yo sigo aqui con mi proyecto...
me cuesta bastante i en muchos pasos me encayo
pero ahora aqui si que me e quedado


El proximo paso sera colocar el loop infinito en el OEP del HIJO, el cual obtenemos con una simple cuenta:
OEP      -    Zona Base = Desplazamiento
66B92C    -     66B000    =   92C

Zona Base + Desplazamiento = Zona de los bytes del OEP

0EC0048   +  92C           =  0EC0974


el OEP ya lo tengo, lo que no entiendo es la segunda operacion

0EC0048   +  92C           =  0EC0974



gracias por tu atencion de verdad


Shaddy

#13
12 Julio 2007, 22:26 PM
Cita de: B@RTY en 12 Julio 2007, 19:45 PM
pues yo sigo aqui con mi proyecto...
me cuesta bastante i en muchos pasos me encayo
pero ahora aqui si que me e quedado


El proximo paso sera colocar el loop infinito en el OEP del HIJO, el cual obtenemos con una simple cuenta:
OEP      -    Zona Base = Desplazamiento
66B92C    -     66B000    =   92C

Zona Base + Desplazamiento = Zona de los bytes del OEP

0EC0048   +  92C           =  0EC0974


el OEP ya lo tengo, lo que no entiendo es la segunda operacion

0EC0048   +  92C           =  0EC0974



gracias por tu atencion de verdad




el padre no tiene las mismas direcciones que el hijo, por lo tanto imagina que el padre tiene la dirección:

1000 y el hijo la 2000, y el OEP del padre es 1010, entonces lo que dice ahi es que mires la base del padre:

1000 y la del hijo 2000 y que calcules el desplazamiento del que sabes (el padre) que tiene desde la base hasta el OEP para poder añadirlo al hijo y calcular la dirección de su OEP, es decir, para hacer el loop tienes que saber donde comienza el hijo (OEP) y ahi hacerle un loop, el loop es simplemente que se quede todo el rato haciendo lo mismo y saltando a la misma direccion constantemente. así que el concepto es que le quites la base al oep:

1010 (OEP) - 1000 (BASE) = 10 (DESPLAZAMIENTO)

y 10 es el desplazamiento, osea, desde la base hasta el OEP hay 10 bytes, así que en el hijo sabiendo la base le sumas 10, y si la base es 2000 le sumas 10:

2000 (BASE) + 10 (DESPLAZAMIENTO) = 2010 (OEP DEL HIJO)

espero que lo entiendas, no se si te he liado mas o te lo he explicado cualquier cosa dime.

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
Imprimir
Ir Arriba Páginas 1 2
Acciones del Usuario