Temas

Hola que tal estoy instalando w7 en mi pc y cuando voy a buscar los drivers de tarjeta red y la inalámbrica y me aparecen varios drivers.

Aquí le dejo el link:

http://support.asus.com/Download.aspx?SLanguage=en&m=K53SD&p=3&s=295

LAN:
- Azurewave Wireless Lan Driver and Application
- Athros LAN Driver

Wireless
- Intel WiFi Wireless LAN Driver
- Atheros Wireless Lan Driver and Application
- WiMAX Wireless LAN Driver

Deseo saber cuál sería el "mejor", y si mi tarjeta puede ponerse en modo monitor o eso depende del driver que le instale?

Saludos,
Nox.

Holas, después de ver siempre lo mismo me decidí a crear esta entrada:

Dynamic Forking, pero también lo llaman RunPE según he visto por la red.

http://www.noxsoft.net/2012/07/unpacking-malware-dynamicforking/

Pronto versión en pdf descargarble.

Agradecimientos a The Swash.

Saludos,
Nox,

Pos por ahí vi a alguien diciendo que no hay actividad y eso, bueno he estado haciendo con unos amigos analizando el malware ACAD/Medre que según ESET fue dirigido al Perú.

http://www.noxsoft.net/2012/06/analisis-malware-acad-medre-parte1/

Estoy por empezar a escribir la parte 2, cuándo lo tenga terminado lo postearé en este mismo hilo.

Pd: Próximamente también estará en formato PDF para descargar.

Saludos,
Nox.

Hola a todos,

Estoy haciendo pruebas, y en local tengo mi web certificado por mi mismo, pero ahora filtrar el acceso permitiendo con el certificado, es eso posible? o que los dos tengan el "mismo" certificado y que solo de esa manera puedan "verse" entre ellos.

Creo que el termino es Certificados web para clientes?

Espero que tenga coherencia lo que dije? recién voy mirando el tema .

Saludos,
Nox.

Hola.... tal vez digan hay un subforo para esto y si... pero aquí me siento más a gusto, además no tenemos que hacer ing. inversa para analizar malware?

Espero que no me muevan el post... hasta que el tutorial esté completo


Para los me conocen de cerca saben que ahora hago análisis de malware, pero como siempre el tema de malware en VB siempre es pesado, más para los que no programamos en dicho lenguaje.

Bien mi pregunta es esta que hace esta api:

__vbaVarLateMemCallLd

He googleado pero aún no lo tengo claro, aunque creo que no tiene relevancia en el análisis que estoy haciendo, (luego explicaré porque!) desearía saber sobre esta api, ya que para otra oportunidad no tendría problemas.

pd: ya iré documentando lo que encuentre hasta formar un tute

Saludos,
Nox.

La verdad que ya tocaba postear algo en el foro, jeee, del concurso de crackslatinos, unpacking Themida.

http://www.noxsoft.net/proyecto/

Saludos,
Nox.

Hola que tal... vengo ya frustrado... tratando de poder resolver este problema y no encuentro la solución.

aquí les dejo mi code:

Código (asm) [Seleccionar] Expandir


invoke CreateFile,addr Nombre, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL
mov [hFile], eax

invoke GetFileSize, [hFile], NULL
mov [nFileSize], eax


invoke MapViewOfFile, [hFile], FILE_MAP_ALL_ACCESS, 0, 0, [nFileSize]
mov [hMapFile], eax

[...]


Todo funciona bien hasta llegar a MapViewOfFile, porque devuelve 0, GetLastError me devuelve 6, significa que el handle es inválido.

También hice esto

Código (asm) [Seleccionar] Expandir

invoke CreateFileMapping, INVALID_HANDLE_VALUE, NULL, PAGE_READWRITE , 0, eax, addr Nombre
invoke MapViewOfFile, eax, FILE_MAP_ALL_ACCESS, 0, 0, [nFileSize]
mov [hMapFile], eax

[...]


Según el ejemplo de la msdn y me devuelve the starting address of the mapped view, lo malo es que cuando accedo a ella está llena de 0s =/, y la verdad no encuentro el problema =/.

Haber si alguien me pueda ayudar D=

Nox.

Tiene varios días que lo posteé en CLS, y lo traigo aquí haber si a alguien le sirva.

Dice así


Ya hace un buen tiempo quería ponerme un reto, este es un escrito análizando al protector tElock, que aunque desempacar no es muy dificil, quise abarcar todos los puntos que para un "cracker" ( con comillas, porque no lo soy , sería fundamental tener en cuenta tanto como un CRC, comprueba la integridad del mismo, y controla por decirlo así los BreakPoints.

En esta primera parte hago un análisis sobre el algoritmo CRC y cómo es usado por el packer, también hay algo que es extraño, una excepción por la instrucción CLC, hago incapié en la información que es pasada a la PILA, cuando ocurre una excepción, y cómo podemos ver la el ExceptionCode, ExceptionAddress, hasta cambiar el EIP, yo diría directamente, espero que sea de su agrado.



Descarga:

http://www.mediafire.com/download.php?f7x9141f3k7tgz2

Se adjunta en la descarga:

    tElock v0.99.pdf
    UnPackMe_tElock 0.99.exe
    Copia UnPackMe_tElock 0.99.exe

Para la siguiente parte falta tocar el Anti HardwareBreakPoint y cómo hacer el Anti AntiHardware BreakPoint xD, jeje. Las entradas reedirecionadas de la IAT, y el salto mágico.

Nox.

Hola chicos,

Mi problema es que cada vez que me conecto con algún cliente ftp, siempre se me reinica el router, y me ha pasado en varios pc, que tienen el mismo modelo de router, antes la solución era usar CuteFTP, que no me reiniciaba el router, aunque se demoraba  un poco, porque se perdia la conexión el cliente, pero mi ordenador no la perdía anda muy bien todo el rato, ahora me descarge la última versión de este cliente, y sigue igual como antes, ese clienta era la única salvación que tenía, pero estás últimas versiones no pasa nada.

Que creen que sea el problema?

Gracias por adelantado!

Nox.

Eso, es para un blog personal, estaba queriendo encontrar hosting buenos, y que el precio no sea elevado, como es para comenzar no pido mucho, pero la cosa es que el hosting valla rápido, si alguno conoce de unos buenos.

Nox.

Extraido de aquí : http://limahack.com/index.aspx?pagina=cfp.aspx

Call for Papers - LimaHack 2011

    Te parece gracioso como quieren parar el "hacktivismo" de
Anonymous ampliando los anchos de banda ? Te resulta divertido
explicarle a los demas como piratasdelared saco informacion de algunos
sitios ? Ahora tu fingerprint (footprint para otros) incluye los
sitios pastebin ? Blogueas continuamente explicando tecnicas de
explotacion de vulnerabilidades ? Eres un pentester profesional ? No
mandas mails a las listas de correo pidiendo ayuda para que funcione
tu hack tool sino que la hackeas para que funcione "as expected" ?
Aprendiste a desarrollar exploits y ahora quieres gritarselo al mundo
(bueno, por ahora al menos a todo Perú) ? Investigaste sobre como
funciona Stuxnet y quieres compartir todo ese conocimiento ? Eres
bueno explicando a los "nuevos" y gerentes los temas de hacking ? Eres
mujer y hackeas como Joanna Rutkowska ? Dominas algun framework de
hacking al 100% ?

    Si respondiste SI, entonces eres la cantidadata (las mujeres
primero) o el candidato ideal para exponer en LimaHack 2011 y el
motivo principal es querer compartir el conocimiento con los demas.

    Todos esos motivos son un ejemplo de lo que esperamos sean las
exposiciones durante esta edicion de LimaHack 2011 que considera
charlas por diferentes niveles de conocimiento :
    - Introductorio
    - Medio / Tutorial
    - Avanzado

    Tambien hemos considerado diferentes tipos de exposiciones :
    - Networking. Orientado a hacking de dispositivos de red.
    - Desarrollo. Orientado a hacking de aplicaciones en general.
    - Administracion de Sistemas. Lo mas clasico del hacking.
    - Consultoria. Para consultores que ven tema de seguridad,
ejemplo : el tecnico que instala los IPSs.

    Es importante que tengas en cuenta que LimaHack es acerca de
hacking de seguridad y temas relacionados (analisis de incidentes,
computacion forense). LimaHack no es acerca de como establecer un SGSI
ni como auditar con respecto a COBIT ni los 10 mejores tips para
configurar un firewall.

    LimaHack es un evento que durara un dia completo y que tendra
charlas en paralelo, asi que hay muchas oportunidades de presentar tus
investigaciones y compartir lo que sabes.

    El Comite organizador evaluara los "papers" que envies, te
confirmara tu participacion y en base a esto se publicara la agenda.

    Por ser un evento 100% gratuito, no habra cobertura de gastos de
viaje de ningun tipo.

    Es importante que estes 100% seguro del compromiso que asumiras y
que se requerira que prepares una presentacion y que el contenido sera
revisado previamente asi como la ejecucion de la exposicion.
    No esperamos demos en vivo y reales de como meterse a la base de
datos de una organizacion, por ejemplo, porque entonces seria nuestro
ultimo LimaHack, solo cuentas como hiciste y si estas mintiendo, el
detector de mentiras te pasara una descarga de 50,000 voltios para que
recapacites

    IMPORTANTE : LimaHack es el evento MAS tecnico de seguridad en
Perú, no se aceptaran papers que propongan promocion de productos,
servicios, marcas, etc.

    De que hablamos : LimaHack 2011 Call For Papers
    Cuando : El CfP se cerrara el 29 de setiembre
    Como : Completar el formato del paper de acuerdo al ejemplo
colocado en <paper_ejemplo.txt> y enviarlo en formato de texto plano y
simple a c...@limahack.com (El nombre del archivo debe tener el
formato : nombre-apellido-titulo_paper.txt)

Ya saben todos los de Perú, en lima se está dando los primeros pasos
sobre estos eventos, de manera gratuita sin ningún costo de entrada,
si alguien se anima pues nos vemos alla.

Nox

Cual de estás 3 les parece la mejor planteada, yo estoy por decirme a cual postular aún (De esas 3), pero deseo su opinion de la malla.

http://www.utp.edu.pe/plan.aspx?idC=00036P&idC1=000036

Ya que la Ing. de Software o Sistemas ya no me convencen como antes (lo digo por opinion personal).

Alguien ya está llevando algunas de esas ing.? en la UTP? y como está lo que enseñan D: (Claro si son de Perú  ) .

Salu2!.

Hola que tal, estaba desamblado un VB, con el OllyDBG, y como no tengo mucha experiencia depurando aplicaciones en tal lenguaje, me surge una duda, según lo que encontre por la red

Rnd(). Devuelve un número aleatorio entre 0 y 1.
[..]
La función Rnd() se corresponderá con la rtcRandomNext exportada por la Dll.

pero el OllyDbg me aclaro esto





y bueno apartir hace una serie de multiplicaciones la cual luego compara con el seríal, claro que hay un salto que puedo invertir, y listo, pero quería ver sí puedo saber que me va devolver, aunque creo que no se podría porque según lo que leí dice aleatorio, y pues, no se si me estoy equivocando haber que me dicen ustedes.

Gracias de antemano.

Hola, que tal, bueno mi pregunta es esa. En una ventana encontre un EDIT, y es allí donde quiero escribir, seguramente es independiente al lenguaje ya que se usarán APIs pero como lo estoy haciendo en asm, pues porseacaso

Nox.

Hola... bien esta es la primera vez que intento hacer algo como esto XD, asi que he estado mirando el SmartFTP que es muy bueno, pero a la vista que no hay craks o es dificil encontrar ( yo por lo menos no lo eh encontrado ), me decide a hacerlo por mi cuenta y aprender un poco mas .

Bien el SmartFTP, en versiones anteriores lo tenia y recuerdo que me aparecia una nag la cual me decia que tenia 30 dias de validacion, pero bueno, esta version 4.0 no me aparece o por ahora no lo hace recien tengo 0 dias de uso , y segun vi usa

aPLib Compresion (Algoritmo)
Microsoft C++ 6.0

y cuando lo abro con el olly el EP para en

Código (mpasm) [Seleccionar] Expandir

0078F487 > $  E8 8D050000   CALL SmartFTP.0078FA19

y segun el olly

Memory map, item 23
Address=007E3000
Size=00199000 (1675264.)
Owner=SmartFTP 00400000
Section=.rdata
Contains=imports
Type=Imag 01001002
Access=R
Initial access=RWE

estamos en la sección imports D:, bueno antes de ponerme en onda lo que hice fue correr haber si se podia, y si normal se pudo, para mi sorpresa, fue al disassemble, click derecho view -> SmartFTP
y pues me encontre con el OEP, le puse un BP y di un restart



bien luego comenze a correr ah me olvidaba que para que corra complemante da algunas excepciones, shitf + F9 y corre sin problemas  , y pues paro alli, ahora esta es mi pregunta

aPLib compresion (Algoritmo), es un algoritmo de compresion, pero necesita que sea "uncompresar", la aplicacion?, nunca me he tocado con este tipo de "compresion" e tocado crackmes con uno que otro packersillo, pero esto =/ y estaba viendo en el buscador de la web de ricardo y pues solo hay un tuto que habla sobre aPLib compresion y efectivamente dumpea la aplicacion y hace el mismo procedimiento como si fuera un packer... y pues me trae dudas porque las apis me parece no se, si sea necesario =/.

Es lo poco que he visto y necesito que me oriententacion.

link de descarga porseacaso D:    

http://www.smartftp.com/download/

Meta:
Crackear y talvez tute XD

Salu2!

Estaba en el foro de Ing. Inversa y mendaron para aca XD

Bueno tengo una duda, estaba mirando una dll y deseo saber, como puedo reconstruir una structura que se encuentra en ella, ademas es pasada como parametro en una funcion, saber sus elementos, y como podre pasarla como parametro en asm.

osea poder reconstruirla y lograr algo asi:

szStructura STRUC

Elemento1 DWORD
Elemento2 BYTE
Elemento3 REAL4
szStructura ends

Si fuera el caso.

Muxas Graxias!

Salu2!

Bueno tengo una duda, estaba mirando una dll y deseo saber, como puedo reconstruir una structura que se encuentra en ella, ademas es pasada como parametro en una funcion, saber sus elementos, y como podre pasarla como parametro en asm.

osea poder reconstruirla y lograr algo asi:

szStructura STRUC

Elemento1 DWORD
Elemento2 BYTE
Elemento3 REAL4
szStructura ends

Si fuera el caso.

Muxas Graxias!

Salu2!

Wolas....

En mi primer dia con el VC++ 2008, y haciendo mi primera aplicacion, tube un problema al debuggearlo con el OllyDBG.

Haciendo una nueva aplicacion en consola,



y waa... esto salio, =/

lo que hices es a ir nuevo proyeto>Win32>consola, proyecto vacio, cree un archivo *.cpp luego compile todo bien.

y cuando vi en el ollydbg fail!

mi intencion era usar clases instanciarlas y ver el "compartamiento" en el ollydbg, pero no e podido.

Haber si me ayudan u.u

Salu2 Nox!

Tengo una duda que me esta carcomiendo, desde hace un buen tiempo.
1. Es sobre la sintaxis usada en las estructuras ( algo mas comprensible ) que la de las macros donde usan un diferente tipo de sintaxis, algunas que no comprendo mucho..
Me gustaria tener alguna documentancion ( ya que lo he buscado pero, nada) acerca de su sintaxis  para facilitar su desarrollo y comprension.
2. Lo segundo es sobre usar objetos en asm se que no es orientado a objetos, pero de que se puede en asm, se puede y es lo que quiero aprender a usar objetos, tambien he estado documentacion sobre esto pero sin exito ( lo unico que me dijeron en los ejemplos del fasm hay uno que no termine de comprender porque segun me dijeron usa los objetos de windows).
3. Se que en asm no hay clases pero debe haber alguna manera de que si una funcion me pide como parametro un  class vector <float,3>, ¿como se lo pasaria en asm?.

Hola que tal pues miren tengo un problema telefonica me brinda un user y contraseña para conectarme al servicio de internet

User: XXXXXXX@speedy
Pass: XXXXXXX

ahora cada vez que entro a Wizard->Wizard y pues llego hacia la configuracion del mismo me aparece esto

User: speedy
Pass: XXXXX

y cuando llame al servicio de soporte me dijeron que se habia desconfigurado asi que lo volvi configurar pero cada vez que entro se desconfigura y la verdad no se si esto me estrayendo problemas porque se me desconecta el internet por ratos o no me deja usar filezilla o alguno de estos gestores por que se desconecta el internet, se me cierra el msn mas en las noches y aveces se queda a medias cargar el youtube :S.

Y no se cuando empezo pero eso de las desconecciones empezo cuando comenze a usar el Filezilla y tube que usar el SmartFtp que si me iba bien mientras que cuando usaba el Filezilla a los minutos no tenia conexión creo que hay empezo todo... aunque no creo que esa por ese motivo sobre la desconfiguracion de mi router, me parece mas problemas de puertos el cual usaban ellos pero de todas maneras me parecia raro que no ubiera conexión y cuando cerraba el Filezilla se conectaba debuelta :S..

el modelo de mi router es ZTE ZXV10 W300 el nuevo modelo, por que según lei habia uno antes de este.

Haber si me pueden ayudar

Salu2.

Hola que tal ^^

Ya cansado de los virus y que el Nod32 no me elimine el Recycler... , que en unos dias pasados se desaparescan la mitad de iconos, ademas que se desconfigure a cada rato mi router <.<,  y que nisiquiera me deje entrar a los grupos de google ¬¬

entoncs lo primero que hacer es la eliminacion de todos los virus en mi pc, empezando por el recycler y luego ver sobre mi router...

asi que les dejo el log del

HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:32:42, on 23/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
C:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Archivos de programa\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Archivos de programa\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Archivos de programa\Intel\Intel(R) Management Engine Components\UNS\UNS.exe

--
End of file - 5690 bytes

pd1: Pase el Nod32 y el CCleaner
pd2: come elimine el  Recycler =/
pd3: Cuando Inicio WXP consume 350M a 400M  de Ram es normal?

y lo del router tal vez lo haga en otro post para que sea mas ordenado

Salu2!

Hola, que tal...

Bueno esta vez los molesto por que tengo un pequeño problema, ( y hasta me da verguenza en poner mi horrible codigo que hice :S).

Yo obtengo el Manejor de modulo de una dll gracias a eso puedo obtener la addy especifica de una funcion..

esa addy es dinamica por eso hago lo anterior, siendo que la funcion es el puntero a la addy dinamica...

Bueno sin tanto palabreo... al punto

lo que quiero es no usar la funcion si no algo que, por ejemplo cambie cuando haya una actualizacion entoncs, lo que he pensado es esto obtener el offset de la funcion,
y cuando haya por ejemplo una actualizacion esta cambie.

a esto seria solo obtener el manejador del modulo de la dll y sumarle el offset.

-Ahora quiero saber si haciendo eso cambiaria el offset en cada Actualizacion, teniendo encuenta que lo obtube de una libreria

-Quiero saber si lo que tengo pensado esta bien

-O tal vez Volver Statica esa Addy? si asi cambia en cada actualizacion seria genial hacerlo asi, pero como lo haria?

-Si no como puedo segun la idea de ustedes, pudiera hacerlo =)

Muxas Graxias a todos por tomarse el tiempo de leer mi duda ^^

Hola que tal tengo una duda la verdad, quisiera saber por que no puedo crear un valor dword dentro de varias carpetas la verdad no se que estoy haciendo mal y si alguien me hecha una mano seria genial

Código (asm) [Seleccionar] Expandir


.386
.model flat, stdcall
option casemap :none

include windows.inc
include user32.inc
include kernel32.inc
include advapi32.inc

includelib user32.lib
includelib kernel32.lib
includelib advapi32.lib

.data

SubKey db "Software\Microsoft\Windows Live\Messenger",0
Nombre db "Multiple Instances",0

Mensaje db "Carpeta No Encontrada",0
Titulo db "Error",0

.data?
hKey dd ?
Buffer dd ?

.code

Main:

invoke RegOpenKeyEx,HKEY_LOCAL_MACHINE, addr SubKey,0,KEY_ALL_ACCESS,addr hKey
.if al==NULL
invoke MessageBox,NULL,addr Mensaje,addr Titulo,MB_OK + MB_ICONINFORMATION
.else
invoke RegSetValueEx,addr hKey,addr Nombre,0,REG_DWORD,addr Buffer, 1
invoke RegCloseKey,addr hKey
.endif

invoke ExitProcess,0



End Main


y como la imagen vale mas que mil palabras

esto es lo que quiero hacer



y porsupesto darle un valor

[[Tuto]Inyección DLL – Full API]

[Tuto]Inyección DLL – Full API

Objetivo: Inyección DLL para el Buscaminas
Dificultad: Intermedio
Herramientas: RadASM, OllyDBG
Cracker: Nox
Fecha: 27/01/2010

Este tutorial tiene finestotalmente didácticos. No me responsabilizo por cómo se pueda utilizar elmismo.

IMPORTANTE: Cualquiertipo de error que encuentren en el tutorial, posteenlo. De esta maneraaprendemos todos.
IMPORTANTE: Se usarael IDE RadASM + MASM

Introducción:
Hola, bueno me anime a dareste tutorial para seguir la alineación de los tutoriales de vladek, [Tutorial]Iniciándomeen el hacking mediante inyección de DLL - Con ejercicio!
[/color], [TutorialC++] Lectura/Escritura de detos de una aplicación (externa) | Con ejercicio.

Siven el tiempo del post se darán cuenta que a pasado mucho tiempo y que no hizomas tutoriales a pesar de que dijo que si, conversando con el después de muchosmeses encontrado en línea me dijo que no haría mas tutoriales por motivo de su trabajo y de suestudio que ocupan todo su tiempo.

En que se llegue a hacer deforma estática.
Así es, el próximo tutorial será sobre eso.
Deberemos usar Offsets y buscar Punteros.
PD: En este tutorial no usamos un puntero, usamos una dirección de memoria.
Esa dirección de memoria tenía de valor "numero" (lo que valiera elnumero)
Los punteros tienen como valor una dirección de memoria.
No los confundas, sino luego se complica
Un saludo.  

Decidí seguir con el curso de sus tutoriales, pero antes de llegar a lo citado quiero volver a hacer untutorial de Inyección DLL, usando únicamente APIs.
Creo que los estoyaburriendo así que vamos al rollo.

Conocimientos previosbásicos requeridos:

Conocimiento Básico en ASM.
Conocimiento en Utilización del OllyDBG.

Software necesario:
OllyDBG
Buscaminas
RadASM+ MASM
Inyector

Comencemos:
1) Abriendo el Buscaminas
Un simple Juego deMicrosoft.

2) Abriendo el OllyDBG

3) A la Acción
Abierto el Buscaminas, enese momento vamos a el OllyDBG File>Attach>WinMine
Damos F9 (RUN)
Comencemos a jugar, ahoranos vamos a Memoria en la sección .data hacemos click derecho y ponemos un BPM on Write



¿Por que hacemos eso?
Aquí no tenemos ningún chico malo (Cartelito) por donde atacar, examines el juego... el tiempo corre :O, entonces ¿Dónde se almacena el tiempo?, ¡En la Memoria!, Ahora ya tenemos un sitio en donde atacar, así que nos dirigimos a ella Alt + M y en los módulos nos dice winmine (Lo vemos en la figura Anterior). Vemos esas partes y vemos diferentes secciones (Lo vemos en la figura Anterior), .text, .data, .rsrc, entro otros la mas importante que nosotros usaremos es la .data es en esta sección donde la mayoría de juegos guardan sus datos y es por aquí donde podemos empezar atacar.
Ponemos nuestro BPM on Write para que cuando quieran escribir en memoria pare.

4) Encontrando Addys
Nos dirigimos al disassembler y vemos que paro  



El OllyDBG nos muestra porque Memory Breakpoint When Writing to [0100579C], si recordemos nuestro BPM on Write, donde estamos:

01002FF5   FF05 9C570001    INC DWORD PTR DS:[100579C],
Bueno ahora nos vamos al DUMP Ctrl + G y escribimos esa dirección 100579C
Para ver que hay en esa dirección



Yo lo hago con la ayuda del OllyDBG, nos muestra DS[0100579C]=00000007
Y si vemos el Buscaminas el contador esta en 7, así que ya tenemos la dirección de nuestro contador creo que a todos se nos ocurre nopear esa sección y así nunca mas correrá el tiempo hagámoslo.
Ahora juguemos una partida, removemos el BPM on Write :S vemos que se queda en 1, pero nosotros queremos 0, bueno pues sabemos que en 100579C nos muestra el contador.
Para remover el BPM on Write hacemos,Click derecho BreackPoint >Remove memory BreakPoint
F9 (RUN)

Le Damos a la Carita, para empezar un nuevo juego, nos dirigimos al Dump Ctrl + G escribimos la direccion 100579C  y en el Byte donde veíamos el cambio le ponemos un Breakpoint > Hardware, on write > Byte, justo en el Byte de nuestro contador, en la direccion ya mencionada.


Ahora jugamos y vemos que para en la siguiente dirección 01003830, así que ya tenemos las dos direcciones donde debemos de nopear.

5) Estructura de una DLL:

Cito RVLCN:

.386
.model flat,stdcall
option casemap:none
include windows.inc
include user32.inc
include kernel32.inc
includelib user32.lib
includelib kernel32.lib
.data
.code
Punto_de_Inicio proc hInstance: DWORD, reason:DWORD, rsrvd1:DWORD
mov eax,TRUE
ret
Punto_de_Inicio Endp
// Aquí se programara las funciones.
End Punto_de_Inicio
La estructura de la DLL es similar a un ejecutable, pero hay una diferencia, se
trata de que toda librería necesite un punto de inicio o de entrada como lo dicen
algunos, Es necesario darle un valor EAX como por ejemplo si es TRUE
queremos decir que la DLL se ha cargado correctamente y si pusié ramos
FALSE a EAX estaremos diciendo que se cargo incorrectamente.
Otra cosa que observamos es que la función Punto_de_Inicio tiene 3
parámetros:
hInstance.- Aquí encontramos el manejador de nuestra DLL (handle).
reason.- Este parámetro puede tomar 4 valores segú n la dirección del proceso:
DLL_PROCESS_ATTACH.- Se recibe este valor cuando se carga la librería en el proceso.
DLL_PROCESS_DETACH.- Se recibe este valor cuando se descarga la librería en el proceso.
DLL_THREAD_ATTACH.- Se recibe este valor cuando se crea un hilo de proceso.
DLL_THREAD_DETACH.- Se recibe este valor cuando se ha destruido el hilo del proceso.
rsrvd1.- Parámetro utilizado por windows, normalmente no se utiliza.

6) Creando nuestra DLL

Nos dirigimos al RadASM,  >Archivo>Nuevo Projecto>masm>Dll Project>None>
Elejimos las opciones ASM, Def, Back>Siguiente>Finalizar

Código (asm) [Seleccionar] Expandir

.386
.model flat, stdcall
option casemap :none
   
     include \masm32\include\windows.inc
     include \masm32\include\masm32.inc
     include \masm32\include\user32.inc
     include \masm32\include\kernel32.inc
     include \masm32\macros\macros.asm
     includelib \masm32\lib\masm32.lib
     includelib \masm32\lib\user32.lib
     includelib \masm32\lib\kernel32.lib
 
.data

Mensaje db "Inyeccion Completa",0
Titulo db "Programado by Nox"
OldBytes     db 6 dup(0) ; Esto crea 6 bites en la memoria con 0
Patch db 6 dup(90h) ; Esto crea 6 bytes en la memoria con NOP
;NameW db "Buscaminas",0

.data?
;bmhwnd dd ? ; hWnd del Buscaminas
ProcessId dd ? ; PID del Buscaminas
hProcess dd ? ; Handler del proceso del Buscaminas
OldProtect dd ? ; Protector antiguo del proceso del buscaminas

PatchWMine PROTO







.code
;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««
DllMain proc hInstance:HINSTANCE, dwReason:dword, lpvReserved:LPVOID

.IF dwReason == DLL_PROCESS_ATTACH

invoke MessageBox, NULL,addr Mensaje, addr Titulo,MB_OK + MB_ICONINFORMATION
invoke CreateThread, NULL, NULL, addr PatchWMine, NULL, NULL, NULL

.ELSEIF dwReason == DLL_PROCESS_DETACH
invoke ExitProcess, NULL

.ENDIF

ret

DllMain endp

;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««
PatchWMine proc


;invoke FindWindow,NULL,offset NameW ; Busca la ventana del Buscaminas
;mov bmhwnd,eax
invoke GetCurrentProcessId
mov ProcessId,eax ; Obtenemos el PID
;invoke GetWindowThreadProcessId,bmhwnd,offset ProcessId ; Busca el PID de esa ventana
invoke OpenProcess,PROCESS_ALL_ACCESS,FALSE,ProcessId ; Y con ese PID abre el proceso
mov hProcess,eax

invoke VirtualProtectEx,hProcess,01002FF5h,6,PAGE_EXECUTE_READWRITE,offset OldProtect
invoke VirtualProtectEx,hProcess,01003830h,6,PAGE_EXECUTE_READWRITE,offset OldProtect
;Si Queremos Restablecer los Datos Usamos ReadProcessMemory, para guardarlo
;en una variable y d hay restablecerlo :
;invoke ReadProcessMemory,hProcess,01002FF5h,addr OldBytes,6,NULL
invoke WriteProcessMemory,hProcess,01002FF5h,addr Patch,6,NULL ;
invoke WriteProcessMemory,hProcess,01003830h,addr Patch,6,NULL ;  

ret

PatchWMine endp
;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««
END DllMain

Bueno si ustedes comparan este code con el [Tutorial C++] Lectura/Escritura de detos de una aplicación (externa) | Con ejercicio.

Se usa las siguientes apis:

Cito:

Usé FindWindow para encontrar el handle de la ventana.
Luego GetWindowThreadProcessId para obtener el id del proceso.
Luego OpenProcess para obtener el handle del proceso.

Ahora nosotros no necesariamente necesitariamos el HWND, si no usar  HANDLE, asi que nos evitamos de usar FindWindow y GetWindowThreadProcessId, que al inyectarnos en su proceso podremos usar una API mas exacta en este caso, GetCurrentProccesId que nos devuelve el PID, la misma funcion que hace la API GetWindowThreadProcessId, y sin usar FindWindow.

Un Handle es una referencia a un objeto, la diferencia que queria marcar es que normalmente un HANDLE es local (el HANDLE 0x10 puede ser un archivo o un evento al mismo tiempo en diferentes procesos) y un HWND es global (la ventana 0x2030 es identificada de tal manera en todo el S.O.), por lo que, yo al menos, lo relaciono mas bien con un identificador.

Si, HWND (Handle Window) es para ventanas; igual para las aplicaciones no son mas que numeros enteros (DWORDs en x86), los tipos se usan para mejorar la comprension del codigo.

a) Explicación de las APIs Usadas
GetCurrentProcessId

La función GetCurrentProcessId devuelve el identificador de proceso del proceso de llamada.

DWORD GetCurrentProcessId(VOID)  

Parameters

This function has no parameters.

;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««


The OpenProcess function returns a handle of an existing process object.

HANDLE OpenProcess(

   DWORD dwDesiredAccess,   // Acceso al Flag
   BOOL bInheritHandle,   // Manejo del Handle  flag
   DWORD dwProcessId    // process identifier
  );   



Parameters

dwDesiredAccess

Especifica el acceso al objeto del proceso. Para los sistemas operativos que el control de seguridad de apoyo, este acceso está marcada en contra de cualquier descriptor de seguridad para el proceso de destino. Cualquier combinación de las banderas de acceso siguiente se puede especificar, además de las banderas de acceso STANDARD_RIGHTS_REQUIRED:

Access            Description
PROCESS_ALL_ACCESS   Especifica todas las banderas de acceso posible para el objeto del proceso.


;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««

La función de los cambios VirtualProtectEx la protección de acceso en una región depáginas cometidos en el espacio de direcciones virtuales de un proceso determinado. Tenga en cuenta que esta función difiere de VirtualProtect, que cambia la protección de acceso en el proceso de llamada solamente.

BOOL VirtualProtectEx(

   HANDLE hProcess,   // handle del proceso
   LPVOID lpAddress,   // address of region of committed pages
   DWORD dwSize,   // size of region
   DWORD flNewProtect,   // desired access protection
   PDWORD lpflOldProtect    // address of variable to get old protection  
  );

Parameters

flNewProtect

PAGE_EXECUTE_READWRITE   

Permite ejecutar, leer, y escribir el acceso a la región.   

;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««
La función de WriteProcessMemory escribe en memoria en un proceso determinado. Toda la zona que se  escriba debe ser accesible, o la operación fracasara.
BOOL WriteProcessMemory(

   HANDLE hProcess,   // handle del proceso cuyo proceso se escribe en
   LPVOID lpBaseAddress,   // address para empezar a escribir a
   LPVOID lpBuffer,   // puntero al  buffer para escribir data to
   DWORD nSize,   // number of bytes to write
   LPDWORD lpNumberOfBytesWritten    // actual number of bytes written
  );   
7) Finalizando

Bueno solo compilemos, e inyectemos


Funciona Perfecto, Hasta el Proximo Tutorial

Descargar Tuto.Doc
Descargar Proyecto

Pd: Cualquier duda, Posteenlo así nos ayudaremos todos
Pd2: Si alguien tiene info sobre DMA y Estáticas, me seria de mucha ayuda que pusieran el link aqui ?, necesito aclarar dudas para el próximo tutorial

Tengo varias preguntas

1.- Para que se usaria

Código [Seleccionar] Expandir

assume fs:nothing ?

2.- si no me equivoco se usaria el segmento -fs- para accesder a  TIB, mas especificamente en  fs:[0], pero es la unica utilidad que tiene ese segmento y el

• por que iria?
  
  3.-
  En este codigo, teniendo en cuenta que ya tengo un contenido en los registros esi y edi
  
  
  Código [Seleccionar] Expandir
  mov     ecx, 0Eh                         
cld                                             ; limpia el byte de dirección de la comparación
repe    cmpsb                              ; compara [esi] con [edi] byte a byte
jnz     Inicio

  
  3.1.-por que usaria cld?
  Se que limpia DF, pero no  entiendo segun lei es el que se
  usa para recorrer una cadena de manera ascendente o descendente en memoria.
  
  3.2.-
  Y el repe va decrementer ecx y comparando esi y edi ahora por que no tiene parametros ese
  
  repe    cmpsb   
  
  osea un destino y una fuente,
  segun lei vi esto:
  
  
  Código [Seleccionar] Expandir
  REPE/REPZ CMPS destino, fuente
  
  pero en ese codigo dan porsentado que va a comparar bit a bit [esi] y [edi]?
  
  4.-
  
  4.1.- Ahora sobre los segmentos aveces veo en el olly
  
  MOV DWORD PTR DS:[40207C],EAX
  
  eso significa que va a mover eax al contenido de memoria en 40207C y en el segmento ds?
  
  Y al revez
  
  add eax,ds:[ebx] , que añadiria el registro eax al contenido de direccion de memoria en el segmento DS Y la direccion EBX?
  
  4.2.-
  
  no solo Usan DS si no tmb SS
  
  eso si no entiendo
  
  MOV DWORD PTR SS:[40207C],EAX
  
  se que es stack segment ose el segmento de pila, y eso es todo pero no entiendo por que lo usan.
  
  4.3.- Ahora hay varios segmentos eso quiere decir que tmb se usan para hacer por ejemplo MOV o ADD, etc?
  
  algun ejemplito xD
  
  Disculpen por la molestia pero e estado buscando info pero nada concreto, u.u
  
  
  
  
  

[Inyeccion NotePad -Asm & OllyDBG-]

Inyeccion NotePad -Asm & OllyDBG-

Bueno parecer que este post no tiene dueño xD ya que lo an visto en una pagina y el blog donde yo lo vi dicen q no se acuerda de la pagina donde lo vio asi que Creditos para esa pagina y Harner por volverla hacer

He y llarmarlo Inyeccion, no se si la verdad lo es pero bue. me gusta como suena xD

Ahora viene el TuTo totalmente escrito por mi e editado por su servidor en la forma de explicacion

Este tutorial tiene fines totalmente didácticos. No me responsabilizo por cómo se pueda utilizar el mismo.

IMPORTANTE:Cualquier tipo de error que encuentren el el tutorial, posteenlo. De esta manera aprendemos todos.
IMPORTANTE:El Debugger a usar es el OllyDBG.
IMPORTANTE:Algunas direcciones de Memoria vistas en este Tutorial puede ser Diferente al del lector.
IMPORTANTE:Escribir las Direcciones de Memorias en uso para su proxima utilización en este Tutorial.

Conocimientos previos básicos requeridos.

Conocimiento Basico en ASM.
Conocimiento en Utilización del OllyDBG.


Software necesario

OllyDbg 1.10
NotePad.


1 ) Para Comenzar Ejecutemos El NotePad.

2 ) Abrir el OllyDBG y abrir el NotePad en el Mismo.




3 ) Buscar Espacios Vacios.

Ahora buscaremos espacios vacios DB 00 (en otros Casos algo que el OllyDBG no pudo analizar, y este no lo es xD),

4 ) Editar.

Hagamos lo siguiente:

-Sombrear una cierta cantidad de DB 00
-Click Derecho BINARY - EDIT, o Simplemente Ctrl + E*

*Como se muestra en la imagen



Escribimos Para el Titulo: "Inyeccion By Nox"
Escribimos Para el Mensaje: "Personalizacion"*

*Por supuesto hacerlo Uno por Uno, como se muestran en las imagenes:

Para el Titulo:


Damos OK

Esto Aparecerá:



--> Pues facil Hacer lo siguiente:
-Sombrear el Cod Editado
-Click Derecho ANALYSIS - ANALISYS CODE

Para el Mensaje:



Damos OK

--> Repetir lo Anterior

Este Es Final del Procedimiento:



5 ) Creando un MsgBox.

Hacer lo siguiente*:

PUSH 0; Para el Boton OK
PUSH 30AA7EA2; Pusheamos Nuestra Direccion de memoria ( Addy ) de Nuestro ASCII ( En este caso "Personalizacion")
PUSH 30AA7E91; Pushemaos el Addy de Nuestro Mensaje
PUSH 0; Para nuestro icono, en este caso no habra xD
Call MessageBoxA; Llamar a la API de User32.dll

*Como se muestra en la imagen:


5 ) Llamando a Nuestra Rutina
Ustedes Piensan esta listo pues no! ya que como el programa ya tiene su rutina de ejecucion, no tomara la nuestra por logica u_u, lo que haremos es pues inyectar nuestra rutina en la del programa.

Hacemos lo siguiente:
-Click Derecho GOTO - ORIGEN



Editemos Nuestra primera linea del codigo, lo que haremos es hacer un salto ( jmp ) hacia nuestra rutina ( espero que tengas las addys ya escritas y guardadas )

Hacemos lo siguiente:

Un Jump hacia nuestra rutina:
-Ya situados en el ORIGEN apretar  SPACE
-Hacer un Jump con nuestra addy de la rutina*

*Guardar la syntaxis asta el Call visto! para su proxima utilizacion.

JMP 30AA7EB2



Vemos que se NOPeo el push a una addy del programa ( espero que ya lo hallan guardo ese push y sus direcciones de memoria)



Muy bien, hasta ahora vamos OK, ahora si borramos un par de lineas en algun codigo del programa no va a funcionar asi que hagamos lo siguiente:

6 ) Normalizar nuestra Inyeccion

Hemos borrado dos lineas del programa:

PUSH 70
PUSH 1001898

Normalicemos, Ir hacia el final de nuestra rutina del MsgBox, y hacer lo siguiente:

PUSH 70
PUSH 1001898
JMP 300019F5



Lo que estamos haciendo es hacer un simple JUMP hacia nuestra Rutina Restaurar el Cod del Programa y hacer otro JUMP hacia algunos de los NOP hechos al Editar El Origen, para que el programa ejecute normal pasando por Nuestro MessageBoxA. xD xD

Asi que si tracean el Programa veran esto:



Ahora sabemos que cuando cerremos y habramos devuelta el OllyDBG con el NotePad pues no se guardara lo que modificamos, asi que hagamos lo siguiente:

-Click Derecho COPY TO EXECUTABLE - ALL MODIFICATIONS .
-Se habre otra ventana. Click en COPY ALL
-Cerremos la siguiente.
-Finalmente Cerramos la Ventana D del OLLY ( Aparece en el Marco Superior Derecho)
-Lo Guardan con el Nombre que desean y Listo

Aparecera Nuestro MsgBox



Y despues Se abrira nuestro NotePad JuJuJuJu

Bueno ya esta la idea xD ahora que podran hacer con esto pues es su imaginacion, como meter ShellCodes ya depende de ustedes lo que sea

Si este no es el Resultado revisen bien cada linea escrita por ustedes!, y les Saldra

Atte: Member UnderNixerTeam

Bueno Bueno aki mi duda

para obtener el serial y nombre del algun programa, debemos detenernos en donde ingresa nuestro nombre y serial o los datos que se nos pidan

ahora

muchos programadores sabedores de que para obtener el serial debemos detenernos aqui, para complicar las cosas, no utilizan apis para ingresar el texto si no que lo hacen mediante mensajes de Windows.

bueno evito tanta explikacion y m voy al punto

Aquí es donde se pierden muchos porque dicen que parando con este método, quedan en el medio de la nada ya que la dirección de retorno, no pertenece al programa pero retornar es muy sencillo.



stoy en el tuto 12 de ricardo narvaja y esa parte no entiendo aver kien m puede ayudar u.u

se q aki hay un mod de CrackLatinos y debe saber sobre esto por q ponen esa img y no entiendo de donde la sakan hay es donde m pierdo u_u

aver si m pueden ayudar