Mensajes

[podria]

En su momento me dedique a ver los MDE y el bytecode producido no es equivalente al de VB6. Por eso es complejo reversear el codigo.

De todas formas, la licencia debe estar en algun lado, con lo que podria llegar a sacarse algo en claro en base a la misma. Aunque no siempre es posible.

En fin, si no puedes subir la app, no hay mucho que podamos hacer al respecto. Recuerdo que habia una tool que te permitia parsear los MDE (estaba en aleman), pero hace tiempo de eso y ya le he perdido el rastro. De todas formas, solo servia para encontrar el codigo dentro del MDE. Luego habia que decompilarlo, lo cual, como dije antes, es bastante complejo.

Saludos!

[AppInit_DLLs]

Bueno, creo que esto no se ha hablado por aquí aunque es un poco viejuno

Se trata de modificar un valor  de esta ruta del registro:

Código [Seleccionar] Expandir

HKEY_LOCAL_MACHINES\Software\Microsoft\WindowsNT\CurrentVersion\Windows\


El valor AppInit_DLLs. En el pondrémos la ruta de nuestra DLL. Nuestra DLL será cargada cuando inicie una aplicación y cargue USER32.DLL.

saludos.

Si se ha hablado sobre el tema: https://foro.elhacker.net/analisis_y_diseno_de_malware/aporte_9_metodos_de_autoinicio_en_un_solo_script-t413898.0.html

Saludos!

Pero en esas empresas trabaja mucha gente y cualquiera de ellos puede filtrar una grieta... o no???...

Bueno... eso creo yo...

Saludos.

Y quedarse sin trabajo (por baja en las ventas)??? Eso tiene menos sentido aún...

[imposible]

Con respecto al HHO (Combustible a base de hidrógeno), les dejo este video, el cual explica el porqué es imposible que este sistema sea rentable: https://www.youtube.com/watch?v=qn480IwYi2g.

Está en Inglés y dura 10 mins. aprox., pero usa la física para demostrar que esos aparatos no sirven (en resumen, gastan más energía de la que producen).

Saludos!

hola amigos eh tratado de desactivar un anticheat se llama xtrap bueno el juego estaba bloqueado con themida.exe pero ya logre quitar eso pero aun no se como llegar a desactivar el anticheat eh investigado y dicen que es el mas fácil de todo pero no encuentro la manera de desactivarlo poer favor .................

Hola!

Ya se te ha respondido sobre este tema en en otros posts. Qué logras creando uno nuevo?

Si no demuestra avances y haces preguntas puntuales, no se te puede ayudar.

Saludos!

[apuromafo]

Hola!

En tu post anterior apuromafo te recomendó la configuración más usada de Olly para Themida.

También te comentó sobre un escrito de más de 230 hojas que hizo un integrante de CLS, lo que demuestra que el packer no es para principiantes.

Te hizo referencia al srcipt de LCF, pero también te comentó que necesitas tener conocimientos para poder usar el script.

Por último que recomendó revisar el FAQ (link en mi firma) del subforo e informarte sobre el packer en cuestión.

Qué más ayuda quieres? 

Necesita aprender a caminar antes de poder correr...

Saludos!

... yo pienso que ese exploit ya esta inservible.

Piensas bien. Estás usando un exploit del 2008 en el 2015... 

Saludos!

Hola!

Para evitar el error de memoria al abrir el callstack: probaste con Olly 2?

Edito: Por cierto aparte de lo del error, ¿qué necesitaría para poder hacer un password recovery para cualquier buscador?, ¿necesitaría saber los módulos que carga no? (es decir las dll que usa), y ¿después?, ¿como se los archivos de cabecera que usa para llamar a las funciones de las dll?

Si no los tengo, ¿como se haría?, miraría las llamadas a las funciones en el ejecutable, luego obtendría el tipo de los parámetros, y con esa info me crearía un ".h" con el nombre de la función y sus parámetros, y luego solo sería añadirlo al programa y cargar las librerías que utilizan esas funciones, ¿no?, ¿O no tiene nada que ver?.

Me pregunto si con el ollydbg se puede mirar a que módulo pertenece una función que se llama en la rutina, ¿se puede hacer? XD.

Muchas preguntas lo se srry.

Si quieres extraer las contraseñas de los navegadores, primero debes investigar cómo las guarda. Para ese tipo de reversing, sugiero IDA, para mirar "por arriba" las cosas y encontrar el tema rápidamente.

Para saber cómo llamar a una función de una DLL, basta con ver qué parámetros pasa, de qué tipo son y el calling convetion (C ó stdcall). Luego te creas un .h con esa info (IDA suele determinar los tipos de parámetros, según su uso).

Me pregunto si con el ollydbg se puede mirar a que módulo pertenece una función que se llama en la rutina, ¿se puede hacer? XD.

Por supuesto. Si te paras sobe el call a la funcion, basta un ENTER para llegar a la misma (y, por lo tanto, al módulo que la contiene).

Saludos!

Hola!

Probando con CFF Explorer en un exe cualquiera, tocando la sección .text, me parece que 0xF0000020 es el valor que estás buscando.

Es cuestión de probar... 

Saludos!

[Nota del moderador: Cierro el tema para evitar que el tema se haga muy largo con "las preguntas de siempre". Para cualquier pregunta sobre el tutorial, enviar un MP al creador del mismo; o bien, crear un nuevo post en el foro.TEMA CERRADO.]

Nota del moderador: Cierro el tema para evitar que el tema se haga muy largo con "las preguntas de siempre". Para cualquier pregunta sobre el tutorial, enviar un MP al creador del mismo; o bien, crear un nuevo post en el foro.


TEMA CERRADO.