Mensajes

Hola!

Si estuviera en tu lugar probaría con zlib. Si no funciona, con un script de python para saber si no está usando gzip.

Si ninguno de los 2 parece reconocerlo, vas a tener que seguir reverseando hasta dar con el algoritmo (es muy raro que no usen un algoritmo de compresión standard).

Saludos!

Hola!

Si vas a hacer análisis estático, lo mejor es usar IDA (busca la versión "liberada" por la red).

W32Dasm esta viejito ya. Puede que es problema que tienes sea por la fuente o el idioma. Fíjate si tienes alguna opción para cambiar eso.

Saludos!

tambien quiero preguntar yo una cosa sobre esto ya de paso si resuelve en una direccion y te cambia la dirección por el aslr la unica manera de evitarlo sería desactivarlo?  Y otra cuando dices la EP te refieres a que si se abre el programa cada vez con el ollydbg y te cambia el entry point quiere decir que tiene aslr?

Si l programa viene compilado con ASLR, va a ser difícil quitárselo (pero no imposible). Aunque no veo un motivo por el cual hacer semejante cosa...

Efectivamente, si cada vez que abres el exe con Olly cambia la direccion del EP, entonces el exe tiene ASLR. Por supuesto, la direccion siempre mantiene el RVA especificado en el PE Header.

Saludos!

La ImageBase es la dirección donde se cargará el ejecutable, si dicha dirección no está ya ocupada.
Ahora, el tema es que por seguridad, muchos programas actuales vienen con ASLR, lo que les permite comportarse como una DLL y cargarse en otra dirección; diferente a la especificada en el PE header.

Si el EP está en una dirección diferente cada vez que corres el exe en olly, entonces tiene ASLR.

Saludos!

Probaste buscando en Google?

https://www.google.com/search?q=python+conexion+inversa+sockets

Antes de preguntar, hay que buscar... 

Saludos!

[55]

Acabo de actualizar, pero a Firefox 55!!! (Es Nightly  )

Si buscas una guía, revisa el FAQ de Ing. Inversa (link en mi firma). Ahí encontrarás todo lo necesario para comenzar.

Para llamar a una API, debes ver si la misma está en la IAT del programa. Si no lo está, debes resolver su dirección antes de poder llamarla.

Saludos!

El 1er mensaje te sale porque estas pisando el destino de una relocacion. Lo que hallas colocado ahi, será pisado nuevamente al momento de cargar el exe.

Saludos!

Osea que con un simple fichero de bittorrent te la pueden colar  

Exacto. 

Saludos!

Usando la colisión de datos de SHAttered, se pueden generar ejecutables cuyo hash sea identico a otros, permitiendo crear backdoors en los mismo programas.

Así que: ojo con lo que descargan!!!

Información: https://biterrant.io/

Saludos!