Mensajes

Gracias AmeRiK@nO, entonces solo me queda buscar el salto magico y aplicar el script, cuando llege a casa me pongo a buscarlo. gracias

Saludos.

Mientras que Shadow responde la pregunta de  AmeRiK@nO, posteo mi duda.

Este es el principio de mi posible IAT



Y este es el fin????  en 00985658  00000000




Porque como tengo mas instrucciones del tipo SFrame.0097F3D6, quiza siga mas para abajo.

Saludos y mil gracias por la ayuda

Una vez Dumpeado, con el ImpRec, no me encuentra las importaciones, osea la IAT debe estar echa pelota, ahora me surgue una duda,

este es mi OEP



y esta es la sección a donde me lleva el jump



Mi pregunta es, cual call es la que tengo que seguir en el dump para poner el HBP on write???

Gracias tena, lo encontre, ahora lo dumpeo con el ollydump??? o con LordPE???

Esto parece una conversacion de msn jejej.

Hay tena!!!!  ! soy un idiota, o talvez este saturado de tanto asm, en fin, mil gracias.

Ahora, me faltaria encontrar el oep no??? poniendo un BP on acces en la sección text 41000 no??.

Saludos y gracias,

Bueno, las novedades:

No se porque, pero ahora el segundo proceso se crea antes que olly pare en CreateMutexA, no se que sera. Shadow, si sigo tu metodo, el del CALL R32, me da error de que no puede acceder a la pocicion F5638CF7, que no es redeable, o leeible.

Algun otro metodo???

Gracias AmeRiK@nO y Shadow, sus respuestas como siempre impecables  , les comento los avances.

He seguido las instrucciones de AmeRiK@nO, he puesto un BP en CreateMutexA, para evitar que se cree el segundo proceso en la segunda parada de la api, poniendo EAX a 0, el problema es que funciono bien, es mas puse un BP on Access en la sección .code y llege a lo que me parecia el OEP, ya que dos instrucciones mas abajo tenia la api getstartupinfo, el caso es que intente dumpear y el olly se travo, emepzo a ejecutarce una rutina y no andubo mas, es asi como digo, sonara raro pero asi fue. El problema es que ahora eax no vale mas 0 sino BC, AC, B0, etc, nunca 0, pero si lo pongo a 0 tampoco anda ya que queda en running y no arranca el programa.

Voy a ver como soluciono este problema  y les comento mas resultados.

Saludos y gracias.

Gracias por la respuesta AmeRiK@nO, la aplicacion que me diste dio esta info.

<------- 08-11-2008 23:11:17 ------->

!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
!- Version 4.48

Mañana lee los tutos gracias por la ayuda.

QUe tal gente, el tema es el siguiente, se que armadillo es complejod e atacar, pero me gustaria empezar de una vez jeje.

Tengo un ejecutable, segun el peid Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks. ahora, en el administrador de tareas tengo dos procesos llamados igual, con el nombre de mi ejecutable.

Como procedo??? en el baul de ricardo hay muchisimas teorias, alguno me diria cual es la mas indicada??? gracias.

Ok, ShadowDark, modopaciencia on,

KJD, mañana miro lo que comentas, por cierto de experiencia en olly 0, jajajaja, supongo que cuando me pide que le ponga un BP, se refiere a un breakpoint, pero de que tipo?, es que me pierdo entre tantas opciones en olly, y claro para vosotros es de cajon que controlais de esto pero yo me siento un pelin ·"&%"· jajajajaj.

En fin, muchisimas gracias por vuestra ayuda, a ver si al final lo consigo

Un saludoo!

Pues es como dice shadow, empezaste con algo un poco complejo, pero lo que facilita la situacion es tener la llave original.

Leete los tutos que te dice shadow, solo las prmeras paginas aunque sea para familiarizarte con el ollydbg.

Con respecto a los BP, si son breakpoints, posicionate sobre la instruccion donde quieres ponerlo y presiona F2.