Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - SirPallic

#1
Ingeniería Inversa / Re: Problema con Ollydbg
23 Abril 2011, 10:54 AM
Inicia el programa haz lo que expliqué arriba y parate en la dirección 401000 y con el segundo del mouse pones New origin here y debuguea con F7. Si con eso no se arregla no se que es lo que pasa.
#2
Ingeniería Inversa / Re: Problema con Ollydbg
23 Abril 2011, 08:35 AM
Talves eso pasa porque el olly se detuvo en alguna función del ntdll mientras analizaba el programa. Para ir a esa dirección, el entrypoint, pone en el registro eax del panel  Registers FRU la dirección 401000 y con el segundo botón del mouse pones Follow in Disassenbler.
#3
Bueno gracias por la pronta respuesta. Entonces tema cerrado.
#4
Windows / Borrar historial de Windows Update
3 Abril 2011, 10:55 AM
El problema es que estuve navegando por internet y se me activo el windows update, al cerrar windows, me informa que hay actualizaciones activas y si quería instalarlas, le dije que no durante una semana y hoy al ver el espacio en disco me di cuenta de que desde que encendi la computadora hasta este último me faltaban alrededor de 500M. Viendo en las carpetas de windows encontré que en c:\windows\softwaredistribution\donload\9392etc están los 500M que me faltan y la mayoría 400M están en backup donde están copiados todos los archivos que tengo en c:\windows\ system32. Mi pregunta es, después de instalar las actualizaciones es recomendable borrar está carpeta. También saber si se recomienda borrar las carpetas $NTUninstall. Gracias de antemano.
#5
Hola amigo, parece que estas dispuesto a usar el código que te proporcione. Sabía que ibas a tener problemas con fs. Como te dije en el otro post, te voy a dar otro código para el kernel. Yo lo usaba siempre en win98 y vi que también funciona en winXP. mov ebx, dword ptr[ebx+0ch] enter mov ebx, dword ptr[ebx+20h] enter mov ebx, dword ptr[ebx+8h]. El código va siempre antes que todo lo demás, sí no, se borra la dirección. Espero que te sirva (enter es salto de linea). Saludos. Agradece posteando un tutorial  de tu shellcode.
#6
No se si ya has arreglado tu problema, pero te traigo una posible solución. Si el problema era la dirección a WinExec, proba con ShellExecuteA. Te pongo el codigo. $ mov dword ptr[ebp],636c6163h $ mov dword ptr[ebp+4],6578652eh $ mov dword ptr[ebp+9],0 $ push 5 $ push 0 $ push 0 $ push ebp $ push 0 $ push 0 $ call ShellExecuteA $ ret . El simbolo "$" lo pongo para hacer el salto de línea porque estoy desde el celular.
#7
comment %
Este codigo lo modifique para tu caso en especial, luego tu veras como lo adaptas a tu antojo.
Simplemente obtenemos el kernel base y buscamos el nombre de la libreria en particular. Luego buscamos su desplazamiento y por ultimo se llama al mismo para ejecutar la calculadora. Si con este codigo no logras hacer nada no se que pueda pasar en tu computadora. Este codigo funciona correctamente en xp.
%
.486
.model flat,stdcall      ;ensamblado con masm32
option casemap:none


.code       
start:

jmp empieza
kernel_base dd 0         ;para que esto contenga luego el offset al kernel
milibreia db "WinExec",0   ;debes de linkarlo con /section:.text,RWE
calculator db "calc.exe",0   ;pero tu lo adaptas como hiciste antes

empieza:
assume fs:nothing         ;esto debes de colocarlo si o si
mov esi,dword ptr[fs:30h]
mov esi,dword ptr[esi+0ch]
mov esi,dword ptr[esi+1ch]
busca:
mov edx,dword ptr[esi+8h]
mov edi,dword ptr[esi+20h]
mov esi,dword ptr[esi]
cmp dword ptr[edi+0ch],320033h
jnz busca
mov kernel_base, edx      ;si no obtienes el kernel, hay otro codigo que puedes usar.

lea esi,milibreia
mov ecx,7
call proceso
push 5
push offset calculator
call eax
ret
nop
nop
nop

proceso:
mov edx,kernel_base
add edx,[edx+3ch]
mov edx,[edx+78h]
add edx,kernel_base
mov edi,[edx+32]
add edi,kernel_base
mov edi,[edi]
add edi,kernel_base
mov eax,[edx+24]
xor ebx,ebx
empieza_buscar:           
push ecx
inc ebx         
push esi
push edi
repz cmpsb
pop edi
pop esi
jnz no_encontrado
pop ecx
mov ecx, [edx+36]
add ecx,kernel_base
dec ebx
movzx eax, word ptr [ecx+ebx*2]                       
mov ebx, [edx+28]
add ebx,kernel_base
mov eax, [ebx+eax*4]               
add eax,kernel_base
ret
no_encontrado: 
dec edi           
busca_fin:
inc edi
cmp byte ptr [edi],0
jnz busca_fin
inc edi           
dec eax
jz salimos           
pop ecx
jmp empieza_buscar
salimos:
ret
end start
#8
Primero comproba que la direccion que apunta a winexec es la correcta, porque las direcciones virtuales varían en otras máquinas y sistemas operativos. Ahora te digo donde está el error. Luego de meter los bytes que forman calc.exe debes de corregir la pila, agrega add esp,9h antes de push 5. Con eso se arregla tu problema.
#9
La verdad es que consegui el equipo mediante un tercero y no me proporciono ningun cd. Voy a seguir buscando en la red. Muchas gracias por haber ayudado en el tema.
#10
Tengo un terminal POS SAGEM Monetel EFT930S-3EFH1101 y quiero conectarlo al pc con Windows xp para utilizar el internet desde el mismo. Se conecta mediante gprs con un chip de la empresa movistar. No tengo el cable usb original pero conseguí uno y cuando lo conecto el sistema reconoce el device pero no instala los drivers para su funcionamiento, intenta conectarse a internet para descargarlos desde ahí pero no encuetra nada o no se conecta. Alguien sabe cuales son drivers o donde puedo bajarlos.