Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - w0nt0n

#1
Para mi vergüenza, el upx -d funcionó perfectamente y el exe corre sin problemas. Os prometo estar fustigándome una semana, a ver si aprendo a pensar antes de hacer preguntas estúpidas. Por si os aburrís y aunque supongo que esto debería ir en el foro de retos, aquí os dejo de dónde estaba mirando el exe:

http://pastebin.com/SMSPgeZt

Saludos!
#2
Buenas .:UND3R:.,

El exe tiene tooooooda la pinta de haber sido comprimido con UPX pero parecería que lo han tocado un poco para que en algún momento toque la IAT. Si bien no la toca demasiado, parece que se lleva alguna de las funciones y las pone dentro de otro de manera que cuando quieres usar el ImpRec (o lo que uses), te salta el error. Siempre puede ser que me esté confundiendo el sucio exe y parezca que es UPX pero en realidad es algo personalizado. En cualquier caso, tanto PEiD como RDG detectan UPX, aunque siempre se pueden falsificar las "firmas".

Saludos!

Edito: Gracias MCKSys probare con el upx -d a ver si cuela (que por cabezonería ni probé). Mil perdones!!!
#3
Ingeniería Inversa / Duda sobre la IT y la IAT
6 Octubre 2014, 16:53 PM
Buenas,

Estoy desempacando un pequeño programa que parece comprimido en UPX. Usando el método del hardware breakpoint llego al OEP pero a la hora de reconstruir la IAT tengo el siguiente problema: las funciones no figuran por orden de DLL. Es decir, si por ejemplo la IT tiene dos dll user32.dll y kernell32.dll hay parte de las funciones de user32 que en la IAT figuran entre las de kernell32 (obviamente es sólo un ejemplo para que la idea quede más clara). Mi duda es: ¿hay un método/programa que "reordene" la IAT y la IT? En caso negativo, ¿hay algún programa con el que crear las dos cosas desde cero? Si ésta también es que no, ¡lo tendré que hacer a mano!

Saludos!
#4
Buenas a todos.

Supongo que alguien se habría fijado antes y ya estará el tema re-manido pero por si acaso, acá les dejo algo en lo que me había fijado hace un tiempo en relación a las redes WLAN_XX de telefónica que van con clave WEP.

La clave de la red wifi es la letra del modelo de router (Z o X) más la dirección mac del adaptador ethernet del router. Lo que no sé es si la dirección mac del adaptador wifi de la red tiene algún tipo de relación con ella.

En fin, una tontería que seguro que ya conocían pero ahí queda.

Saludos!
#5
Échale un ojo a la página de cyberhades, que han sacado hace nada un post con 51 libros (si no recuerdo mal) para aprender python. Aunque esto que te estoy contando yo, seguro que te lo contaba google a poco que buscaras!

Saludos!
#6
Gracias por tu respuesta pero en principio, para encontrar un fallo, por ejemplo sql o xss no hay por qué explotarlo, con lo que no habría hecho nada ilegal para saber que hay un fallo. Otra cosa es que saque algún usuario o entre donde no debo. Por otro lado me surge la duda de, si el panel de administración de una página no está protegido por password y se guarda en una carpeta llamada "administrador" y yo llego a esa carpeta adivinando, ¿es punible? Supongo que si cambio algo sí, aunque para mí el que debería pagar es el administrador del sistema por omisión.
Es como si alguien guarda un billete de 1.000 dólares debajo de una losa en la calle. Si por un casual tropecé con ella y me llevo el dinero, ¿me acusarían de robo? Lo dudo pero ahí me falta saber de derecho para ver si lo que digo son memeces.

Saludos!
#7
Pues eso. Si publico en mi página web fallos de seguridad de otra página web (inyección sql, XSS, RFI, etc.), ¿me meto en un lío?

Saludos!
#8
Ingeniería Inversa / Re: Ayuda en delphi
21 Marzo 2012, 20:29 PM
Sigo probando cosas.

Ahora me ha dado por pensar que uno de los problemas por los que el DeDe y el IDR no funcionan correctamente es porque las resources del programa desempacado están estropeada.

Supongo que el programa tiene que leer las resources de alguna manera (aunque no tengo claro si los forms, textbox y demás tienen que formar parte del directorio de resources)
. Acabo de encontrar un post acerca de esto heep://forum.exetools.com/showthread.php?t=7748 , así que por el momento este post es un poco inútil.

En cualquier caso, sigo a ello.
#9
Ingeniería Inversa / Re: Ayuda en delphi
11 Marzo 2012, 12:14 PM
Gracias de nuevo Nox pero el problema que tengo con tanto el Import Reconstructor como con el ChimpRec es que sólo arreglan dumpeados a partir de originales en memoria y yo lo que necesitaba era crear una IAT desde cero, ya que el programa desempacado con el upx no me lo reconocen como un dumpeado. Intenté añadir las apis con el PE Editor (del LordPE, de las PE Tools, el que se llama así y el IID King) pero no conseguí hacer que funcionara: todo lo que hacen es agregar una sección que hace referencia a la tabla original con lo que al cargarlo sólo carga las apis que no fueron añadidas. Supongo que el problema de esto es que no sé muy bien cómo usar estos programas, así que casi me busqué yo el hacerlo a mano   :D.

En cuanto a conocimientos del PE te dejo un par de artículos de microsoft explican, un poco genéricamente, el formato PE (están en inglés):

http://msdn.microsoft.com/en-us/magazine/cc301805.aspx <- An In-Depth Look into the Win32 Portable Executable File Format Parte 1
http://msdn.microsoft.com/en-us/magazine/cc301808.aspx <- An In-Depth Look into the Win32 Portable Executable File Format Parte 2

En cuanto a tutes en delphi, os agradecería los que he encontrado son:
http://ricardonarvaja.info/WEB/buscador.php <- Buscando "delphi"
https://foro.elhacker.net/search.html <- Buscando "delphi"
http://forum.tuts4you.com/ <- Buscando "delphi"
http://www.google.com <- Buscando "delphi crackme"

Supongo que en todas estas páginas hay más crackmes hechos en delphi que simplemente no incluyen en su nombre "delphi" (sobre todo en tuts4you y en la de ricardo). Si sabéis de algún tute de algún crackme hecho en delphi (sobre todo en la página de ricardo) y que no tenga la palabra delphi en su título, os agradecería que me lo dijerais.

Saludos!
#10
Ingeniería Inversa / Re: Ayuda en delphi
11 Marzo 2012, 02:10 AM
Sigo a ello.

Lo que he intentado ahora es modificar la IAT para que el exe desempacado que obtengo del upx me funcione. Para eso lo que he hecho es:

1. upx -d xxx_porno.exe <- Descomprimo el exe con el upx.

2. Este exe no funciona. Revisando con el LordPE veo que tiene una tabla de imports pero que no está referenciada en el encabezado, así que cambio el encabezado del programa y, después de cambiar los permisos de la sección, carga en el olly. Se trata de otro packer pero el programa no funciona bien: da un error y se detiene.

3. Traceando el original y comparándolo con el desempacado veo que el problema está en las direcciones de la IAT a las que accede ya que necesita apis que están cargadas en la IAT original y no en la del desempacado. Llegados a este punto la única solución que se me ocurrió fue dumpear la sección entera del original en la que estaba la IAT y modificarla para añadirle los nombres de las apis que necesita. Esto fue un trabajo un poco latoso ya que tenía que crear una nueva IAT y no sé si hay programas que te hagan eso, pero yo no los encontré (si sabéis, decidme) y tuve que hacerlo a mano.

4. Una vez modificada la sección del original para que encaje en el desempacado, la integro en éste con el LordPE y corrijo el RawOffset y el VirtualOffset de la sección nueva, modifico la dirección de los imports y el programa carga.

5. Con el programa cargado en el olly busco los calls a la IAT del desempacado (ya que ahora la IAT es la modificada que he añadido) y las redirijo a la nueva. Guardo los cambios en el exe y, por fin, el progama corre.

6. Una vez se desempaca, vuelve a estar empacado (de nuevo con upx) pero esta vez sigo hasta el OEP usando el método del pushad/popad. Dumpeo, arreglo la IAT y listo.

Todo esto lo hice con la esperanza de que el desempacado con el olly que había hecho al principio del post, no pudiera ser leído correctamente por el DeDe o el IDR debido a que las secciones no estaban estructuradas correctamente. Resulta que me equivocaba: esta nueva versión, aunque tiene todas las secciones correctas, tampoco puede ser leída con estos debuggers.

Lo que me queda ahora es intentar crackearlo de nuevo pero me daba ya muchos problemas la otra versión así que supongo que esta no será diferente. He estado leyendo tutoriales de crackmes hechos en delphi pero no he encontrado ningún método que me sirva. El programa está hecho usando KOL/MCK. Si sabéis de algún tute o algo en el que se estudie los programas compilados así, os agradecería que me lo dijérais porque yo no he encontrado nada. De todas maneras, sigo a ello.

Saludos!