Mensajes

Saber reversing, no implica que sepamos programar en todos los lenguajes usados para la creación de los proggies.

Nox.

Te aclaro que yo tampoco se programar en VB, solo obtuve el código de la MSDN.

Siempre que tengas una duda de este tipo hazte un código en ese lenguaje y fíjate en como se comporta la función (ten en cuenta que los datos los conoces ya que los pones en el código fuente, así te resultará más fácil rastrearlos y ver donde caen).

Código [Seleccionar] Expandir


   Dim thisDate As Date
   Dim thisMonth As Date
   Dim thisYear As Integer
   
   thisDate = #5/7/1969# 'OJO las fechas en VB están en formato Mes/dia/año
   
   thisYear = Year(thisDate) 'rtcGetYear
   
   thisMonth = Month(thisDate) 'rtcGetMonthOfYear


En este caso rtcGetYear corresponde a la función Year y rtcGetMonthOfYear a la función Month.

Y bueno, si consultas en la MSDN por ambas funciones lo que te dice es que toman una fecha (Date) y te sacan el mes o el año.

Una vez visto esto te vas al Olly o debugger preferido y si te paras en el CALL de cualquiera de las dos funciones:



ESP = 0013F440, pues hacemos click derecho ahí y follow in dump (en el stack). Una vez dentro de ese valor y sumando 8 bytes es el address donde se guardará el año/mes según corresponda. (En este caso se guardará en 0013F4D4 después de ejecutar el CALL).

Sobre el Themida no te puedo decir nada, ya que no estoy muy puesto en el tema de unpacking pero sobre el CE:

¿Has probado a utilizar alguna versión modificada como el Kiki engine o alguno del estilo? También puedes probar con las opciones que tiene el CE de esconderlo.

Pues de los pocos lenguajes que conozco me quedaría con C/C++ para este propósito.

Hola, más bien debería ir en programación general porque no se utiliza ingeniería inversa para nada pero bueno te respondo:

Usa las siguientes APIs:

CreateFile => Abre/Crea archivo.
SetFilePointer => Lee a partir de la posicion que le pongas (aqui pones X).
ReadFile => Lee archivo (aqui pones los bytes que quieras leer, de X a Y).
WriteFile => Escribe archivo (aqui pones los bytes que quieras escribir de X a Y).

El lenguaje ya depende de ti, en el que te manejes mejor.

Si es tan solo un string y no necesitas modificar código puedes utilizar
un simple editor hexadecimal.

No, el espacio entre carácteres lo trata como 00.

Ejemplo:

ASCII

Código [Seleccionar] Expandir


65 72 72 6F 72 00 00   error..


UNICODE

Código [Seleccionar] Expandir


65 00 72 00 72 00 6F   e.r.r.o
00 72 00 00              .r..


Has probado haciendo CTRL+G => IsNetworkAlive    ? A mi me funciona.

También puedes meterte dentro del módulo SensApi.dll que es donde
pertenece esa API, y una vez dentro hacer CTRL +F y buscar

CMP DWORD PTR SS:[EBP+8],6BA



Y arriba tienes el inicio de la API.

O también puedes utilizar el plugin Command Bar y hacer bp IsNetWorkAlive.

No se me ocurren más formas .

Puedes utilizar el plugin Toolbar Manager para ese propósito.

Si estas hablando del OllyDbg entonces:

La diferencia está es que con Open File arrancas directamente
el Olly con el .exe y con Attach pues arrancas el programa y con Attach
lo que haces es que te permita debugear el programa con el Olly.

¿Cuando usarlos? Pues yo casi siempre le doy a Open File y si tengo
problemas con ese método ya sea bien porque tarde mucho en cargar
el programa con el depurador encendido o porque tenga algún método
de detección al inicio pues lo arranco normal y después le doy a Attach.