Mensajes

La extensión/librería, está firmada digitalmente? Si es así, puede que esté comprobando la firma y se dé cuenta del cambio en la misma...

Saludos!

Agrego un poco más de info (en realidad es lo mismo, pero quizás de otra forma) sobre lo que dijo Eternal Idol:

http://www.karmany.net/ingenieria-inversa/19-ingenieria-inversa-novatos/146-pe-header-que-es-la-iat-import-address-table

http://sandsprite.com/CodeStuff/Understanding_imports.html

http://win32assembly.programminghorizon.com/pe-tut6.html

Saludos!

http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/Q-R-S-T-U/topo12corregido.rar

Ojo con los antivirus, pues lo detectan como virus (al menos lo hacían). Por supuesto, es un falso positivo.

Como nota te aclaro que requiere de experiencia usar topo (en realidad, el inline/la inyección en general): no por el manejo de la herramienta en sí, sino por el código que luego hay que agregar.

Saludos!

[USERPROFILE]

La variable de entorno USERPROFILE apunta a la carpeta del usuario.

Si le agregas Desktop ya tendras en path completo.

En tu codigo vas a tener que usar ExpandEnvironmentStrings

Saludos!

ahhh en verdad muchas gracias MCKSys Argentina, disculpa mi ignoracia 
Ahora tengo esta otra inquietud haber si por aqui le pegamos a algo,
estando en el propio ejecuble (el de la carpeta) con olly voy a esta direccion:
006EF17F el siguiente codigo:
006EF17F ADD BYTE PTR DS:[EDX],AL
006EF181 OR BYTE PTR DS: [ECX+8D8B084A],44
006EF188 ???
006EF18A DEC DWORD PTR DS: [ECX+D48B0C4A]

Bueno lo extraño para mi es que estas lineas en cuanto trato de desplazarme hacia arriba o hacia abajo de inmediato desaparecen sin dejar rastro, solo aparecen si las llamo con su direccion exacta, es esto normal? y cuando hago correr el programa siguen ocultas porque se esconden? sera que es un exe embrujado?

Los ejecutables hechos en VB son "especiales" pues mezclan datos en la sección de código. Ollydbg no "reconoce" dicha forma y trata e interpretar todo como código, cuando en realidad no lo es.

Como te dije antes, pásate por la web de ricardo y bájate tutoriales sobre programas en VB5/6.

Saludos!

Entonces no es esto una proteccion?? que mas podria ocasionar eso?

Que el proggie la esté llamando a cada rato. Si tiene muchos OCX's hechos en C/C++, esa API es llamada mucho.
De todas formas, en VB no necesitas preocuparte por dicha API. Debes mirar las de la libreria del runtime (msvbvmXX.dll)

Saludos!

[fijos]

En este mismo foro tienes temas fijos (los temas con ). Revísalos para encontrar todo tipo de onfirmación sobre Batch, incluso tutoriales básicos y avanzados.

Saludos!

Cuando pongo los HBP en la rutina sospechosa estos son desactivados por la misma proteccion que tiene el programa, use un plugin anti-anti-HBP pero no tuve exito, luego use el script descrito en el curso del reconocido Narvaja en la leccion 42 pero tampoco logra pararlo, cuando se detiene en el KiuserDespacher miro el context y trazando con F7 veo como cambia la direccion de mi HBP por otra y asi lo hace una y otravez entrando y saliendo.
La cosa es que trazando nunca llega al final de la rutina ya que esta es cronometrada y al ver que exedio el tiempo limite me lleva a dar vueltas infinitas.

Que otra tecnica podria usar para evitar la desactivacion de los HBP?

El programa que pasaste no tiene protección de ninguna clase. No debería borrar los HBP ni los BP comunes. Debes estar haciendo algo mal...

Saludos!

[/398026878]

Probablemente no debería, pero es sólo para demostrar que poniendo un poco de entusiasmo en el tema y leyendo tutoriales, se puede romper lo que sea:

• Abrir programa con Olly normal
• BP en 007EE56F
• Ejecutar y cuando para, ver valor STRING Variant (EAX-->Follow in dump. En el dump, el 3er DWORD-->Follow in dump) PUSHeado al stack.
  
• Reiniciar proggie.
• Abrir C:\Lic.dat y colocar el valor "pescado" como texto simplemente.
• Ejecutar e ingresar el mismo texto para registrar.

Como ves, registrar el programa es sencillo. Ojo! Si el programador puso "cosas ocultas", entonces no sería todo; PERO según lo que veo, parece que si.

Saludos!

PD: Aún no es navidad, pero va otro regalo: pass de la db: /398026878

En este mismo foro tienes temas fijos (los temas con ). Revísalos para encontrar todo tipo de onfirmación sobre Batch, incluso tutoriales básicos y avanzados.

Saludos!

PD: El la 3era vez que te advierto sobre el doble post. Por favor, no lo hagas más. Gracias.