Mensajes

PD. Por ahora tengo la idea de hacer un colisionador md5 

http://www.mscs.dal.ca/~selinger/md5collision/

Saludos!

Lo que te puse antes, es muy usado (no preguntes dónde  )

Otra idea (funciona al día de hoy, probado en KAV up2date  ):  click

Saludos!

Si no quieres que lo desinstalen fácilmente, para qué lo colocas en el panel de control en primer lugar??? 

Saludos!

Intenta colocando un bucle desencriptador/delay de unos 3-5 segs.

El tracer/emulador de KAV tiene (a al menos tenia) ese timeout, antes de dejar correr un proggie...

Saludos!

[autoclick]

Si usas el buscador del foro y colocas autoclick, veras muchos temas al respecto.

Saludos!

El que tiene el problema de busqueda con analisis es Olly 1.10. Si usas Olly 2 no deberias tenerlo.

De cualquier forma, si en Olly no encuentras los opcodes del comando, es probable que no esten y que findjmp falle.

Recuerda que puedes buscar alternativas a un JMP ESP, como por ej.: PUSH ESP-RET, CALL ESP, MOV R32, ESP-CALL/JMP R32, etc. etc

Saludos!

PD: El EXE no tiene ASLR, no? 

Bueno, no sé si tu comentario iba con intención cómica, o realmente tratabas de ayudar, en cualquier caso, gracias, pero como comprenderás, ya había leído en wikipedia xD

Entiendo. Mi intencion es ayudar. 

Veamos, basicamente una funcion hash se encarga de convertir/mapear una cantidad arbitraria de datos, en una cantidad finita (que tiene fin) de datos, utilizando algun tipo de funciona matematica para tal fin.

En otras palabras, produce una "firma" de la informacion procesada. Lo que pemite identificar dicha informacion de forma rapida, sin tener que compararla completamente.

Hay muchos metodos para hacer este tipo de cosas. Por ejemplo, tienes el metodo del CRC, el cual produce una "firma" de una cierta cantidad de bits (16 y 32 son los mas usados).
Hoy dia, se usa mucho MD5 y SHA1. Fijate que, por ejemplo, los antivirus usan estan ultimas para identificar programas o archivos maliciosos.

Espero haberte ayudado...

Saludos!

Creo que esta es una muy buena definicion: http://es.wikipedia.org/wiki/Hash

Saludos!

Otra cosa que no he hecho, pero que no entiendo es... Si uso "findjmp.exe" con una DLL del programa para buscar algún JMP ESP, me muestra unos cuantos, pero una vez abierto con Olly el programa (una vez lanzado el exploit) y buscado "JMP ESP" en esa misma DLL, no encuentro ninguna.
La posible explicación que podría darle es que el programa no carga en memoria todas las funciones de la DLL. ¿Es correcto?

No. Olly tiene un problema cuando busca opcodes, si el modulo ha sido analizado.

Para verificarlko, quitale el analisis al modulo y veras que encuentra los comandos que encontro findjmp.

Saludos!

Vos sabés que VMProtect es de lo mejorcito que hay entre los packers.

Ahora, no sé que tan FUD pueda dejarte el proggie...

Saludos!