Mensajes

Hola!

Secundario completo. Segundo año completo de Ing. en Sistemas (abandoné). Trabajé arreglando autoelevadores (montacargas) y todo lo relacionado con la refrigeración: heladeras (refrigeradores), Acondicionadores de aire, etc. Para lo anterior, tuve que aprender sobre electricidad (ya sabía bastante sobre física), hidráulica, electrónica, neumática y un poco de mecánica (ya que hay autoelevadores a combustión y eléctricos 100%).
Hoy día hago exploits y Reversing; con ello tuve que aprender todo lo relacionado al rubro.

Lo principal es no perder el tiempo en cosas que no lo valen.

Para todo lo anterior: he estudiado y aprendido (aún lo sigo haciendo) todo lo que considero útil...

Saludos!

PD: No preguntes qué considero útil ya que no quiero herir susceptibilidades... 

¿Me recomiendas antes acabar el de reversing?, ya que bueno de debuggers de ensamblador y del lenguaje ensamblador he dado en Estructura de computadores en la universidad, y con el libro solo ver y entender código estoy aprendiendo más que todo lo que aprendí en clase.

Gracias por la respuesta.

No. Es una recomendación como cualquier otra. Ve por partes (como Jack el destripador). Si abarcas mucho, apretarás poco...

Saludos!

Por cierto, alguien ha leído "Antivirus hacker's handbook" ?, es por si me lo recomiendan y tal, actualmente estoy leyendo "Reversing: Secrets of Reverse Engineering" la verdad que me cuesta, pero según entiendo algo se me abre un mundo de ideas jajjaja.

Lo he leído y lo recomiendo 100%. El libro de Joxean es muy bueno. Lectura recomendada si te interesa el reversing en AV's (y en otras cosas).

Saludos!

[Mad Antrax]

vale.. puede que el juego que elegi sea un tanto complicado para empezar.
me podrias sugerir algun juego para empezar con memory editing?

No podría. No pierdo mi tiempo hackeando "jueguitos". Pero aún así, Mad Antrax hizo un tutorial sobre cheat engine, el cual usa un juego como target. Quizás podrías aprender con ése.

Saludos!

Lo hare.. pero me dirias con que programa modifico lo que me enseñaste?

Con el mimso Ollydbg o con un editor hexa.

Saludos!

Para quitarse las dudas, revisar éste link: click

Saludos!

Puede que se trate del valor mostrado y del valor real. La duplicidad quizás se deba a que el proggie lo copia para usarlo.

Saludos!

me e quedado impactado me doy cuenta de que no se absolutamente nada de esto aprecio mucho su ayuda pero es que no logro entender nada de lo que me explican me enojo conmigo mismo pero muchas gracias seguro otras personas que leean este post si les valla a servir

GRACIAS a los 2!

Eso te pasa porque necesitas aprender más. En el FAQ del subforo, encontrarás mucha info para iniciarte en este mundo. En mi firma encontrarás un link al mismo.

Saludos!

Ayúdalo, pareciera que tiene algo de interés, yo lo ayudaría pero me limita tanto el tiempo 

OK, un parche rápido:

WinMain empieza en 00407880. Si cambiamos la función principal del programa por la que queremos, debería ejecutar el proggie sin problemas. En otras palabras cambiamos:

Código [Seleccionar] Expandir

00407880 <WinMain(x,x,x,x)>     /$  55                PUSH EBP
00407881                        |.  8BEC              MOV EBP,ESP
00407883                        |.  8B45 08           MOV EAX,DWORD PTR SS:[EBP+8]
00407886                        |.  53                PUSH EBX
00407887                        |.  56                PUSH ESI
00407888                        |.  BB 01000000       MOV EBX,1
0040788D                        |.  33F6              XOR ESI,ESI
0040788F                        |.  A3 34914A00       MOV DWORD PTR DS:[4A9134],EAX
00407894                        |.  841D D0904A00     TEST BYTE PTR DS:[4A90D0],BL
0040789A                        |.  75 18             JNZ SHORT <Mt2.loc_4078B4>
0040789C                        |.  091D D0904A00     OR DWORD PTR DS:[4A90D0],EBX
004078A2                        |.  E8 59000000       CALL <Mt2.sub_407900>
004078A7                        |.  68 40C54800       PUSH <Mt2.sub_48C540>                    ; /func = <Mt2.sub_48C540>
004078AC                        |.  E8 7FEF0400       CALL <Mt2._atexit>                       ; \_atexit
004078B1                        |.  83C4 04           ADD ESP,4
004078B4 <loc_4078B4>           |>  68 D8904A00       PUSH Mt2.004A90D8                        ; <== Este PUSH rompe el stack
004078B9                            E8 62010000       CALL <Mt2.sub_407A20>                    ; <== CALL al programa principal


Nuestra función está en 407F20, entonces nos queda:

Código [Seleccionar] Expandir

00407880 <WinMain(x,x,x,x)>     /$  55                PUSH EBP
00407881                        |.  8BEC              MOV EBP,ESP
00407883                        |.  8B45 08           MOV EAX,DWORD PTR SS:[EBP+8]
00407886                        |.  53                PUSH EBX
00407887                        |.  56                PUSH ESI
00407888                        |.  BB 01000000       MOV EBX,1
0040788D                        |.  33F6              XOR ESI,ESI
0040788F                        |.  A3 34914A00       MOV DWORD PTR DS:[4A9134],EAX
00407894                        |.  841D D0904A00     TEST BYTE PTR DS:[4A90D0],BL
0040789A                        |.  75 18             JNZ SHORT <Mt2.loc_4078B4>
0040789C                        |.  091D D0904A00     OR DWORD PTR DS:[4A90D0],EBX
004078A2                        |.  E8 59000000       CALL <Mt2.sub_407900>
004078A7                        |.  68 40C54800       PUSH <Mt2.sub_48C540>                    ; /func = <Mt2.sub_48C540>
004078AC                        |.  E8 7FEF0400       CALL <Mt2._atexit>                       ; \_atexit
004078B1                        |.  83C4 04           ADD ESP,4
004078B4 <loc_4078B4>               90                NOP                                      ; <== Este era el PUSH que rompia el stack
004078B5                            90                NOP
004078B6                            90                NOP
004078B7                            90                NOP
004078B8                            90                NOP
004078B9                            E8 62060000       CALL <Mt2.sub_407F20>                    ; <== CALL a nuestra función.


Osea, cambiamos 5 bytes; y con eso debería funcionar... 

Saludos!

me da verguneza pedir esto pero puedes hacerlo por mi porfavor llevo 2 horas intentando lo que me dijiste y buscando en google pero no logro nada u_u

En qué parte te trabas?

Saludos!