Mensajes

Si el packer es themida, entonces todos los BPs en Kernel, User y Advapi no te servirán.

Themida hace una copia de dichas DLLs en runtime y usa esas...

Prueba con RDG Packer Detector y Protection ID.

@Tinkipinki: Bajate esto:http://ricardo.crver.net/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/000-100/001-ASSEMBLER%20por%20CAOS%20REPTANTE.zip

Leelo y veras que ASM no es nada del otro mundo (incluso lo encuentro mas sencillo que algunos lenguajes de alto nivel  )

Saludos!

Por supuesto que es necesario e imprescindible. ¿Precisamente qué hacen los depuradores? Pero supongo que para ti el cracking se resume en los textos de Narvaja y OllyDbg, ¿no es cierto?

Para crackear es necesario saber que hacen las instrucciones ASM, pero no necesariamente saber programarlo. En mi experiencia personal, primero aprendi que hacia cada instruccion y tiempo despues, a hacer programas en ASM.

Los textos de Ricardo son un buen punto de inicio en el cracking. Esto no significa que sea la unica referencia sobre Cracking que existe. El tema existe desde mucho antes que Ricardo empezara sus escritos... 

OllyDbg... 

ya que no es un ejecutable es un plugins.

Un plugin es una DLL, lo que es casi lo mismo que un ejecutable. En Olly puedes cargar una DLL sin necesidad de cargar el EXE.

Esto lo sabrias si leyeras un poco el curso de Ricardo...

Me ha funcionado de maravilla. una cosa más me podrías explicar un poco más detallada la fórmula? (Quiero saber que es lo que hago)

El tema es que los JMPs y los CALLs son relativos a la posicion en la que estan.

Siguiendo tu ejemplo, tienes un CALL:

Código [Seleccionar] Expandir


00890E9F    E8 FC84B9FF     CALL UnPackMe.004293A0


Como vez Olly te decodifica ya la direccion a la que saltara/llamara el CALL, pero si lo ves a nivel de BYTES, el valor que tiene el opcode de CALL (E8) es FFB984FC. Este valor es la distancia en bytes desde esa posicion (00890E9F) al inicio del CALL en si (4293A0).

Ahora, para calcular efectivamente la direccion, deberas sumarle a la direccion donde esta el CALL, el valor de "distancia" y ademas la cantidad de bytes que ocupa la instruccion CALL...

Eso es todo

1) Obtienes la direccion donde esta el CALL (890E9F)
2) Obtienes los bytes del CALL (FC84B9FF)
3) Inviertes los bytes del CALL (FFB984FC). Asi obtienes un nuemro que puede ser positivo o negativo.
4) Le sumas a la direccion de 1) los bytes invertidos.

Listo. Ya tienes la VA de la funcion...

Saludos!

Ah! Sumale 5 (los bytes que ocupa el CALL) 

Para evitar todos los calculos, transforma el CALL en un PUSH+RET.

Por Ej.:

CALL 123456

es igual que

PUSH 123456
RET

El unico problema es que necesitas 1 bytes mas... 

el ricardo narvaja este para ser una eminencia tan grande como comenta la peña no sale ni en la wikipedia 

Conozco a Ricnar personalmente (trabajo todos los dias con el) y no se autoconsidera una eminencia ni nada por el estilo.

Y por Wikipedia.. bueno, estoy contento de que no este. Eso demuestra que no todo lo que esta ahi es verdad y que hay cosas que son verdad y no estan...