Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Иōҳ

#1
Ingeniería Inversa / Re: PE Explorer.--
15 Mayo 2013, 23:55 PM
Si no me equivoco el PEExplorer puede reparar si se trata una inconsistencia en la cabecera, que así parece por error, ahí creo que tiene una opción de buildpe, pero que parte has modificado para que no te funcione? Respecto a lo que modificas se tiene que reparar la cabecera.

Saludos,
Nox.
#2
Ingeniería Inversa / Re: PE Explorer.--
15 Mayo 2013, 22:22 PM
Lo que te está diciendo el PEExplorer, que el SizeOfImage antiguo es diferente al nuevo, y que el PEExplorer se encargará de repararlo.

El SizeOfImage es el tamaño del ejecutable en memoria, eso se puede obtener sumando el VirtualAddress de la última sección más el VirtualSize redondeado a múltiplo de SectionAligment.

Saludos,
Nox.
#3
Karcrack, siempre tuve duda en eso, quería preguntarte, la cabecera MP3 puede estar en cualquier lado? no es necesario de que esté en el offset 0? me imagino que si unes con un PE debe ser mazo menos así:
+--------- +
|  [MZ]     |
|  [MP3]  |
+---------+

???

Saludos,
Nox.
#4
Yo también lo haría como tú, quitaría módulos hasta dar con el que detecta ...

Saludos.
#5
Pero si lo partes en dos el exe, acaso el parser del formato pe del av no detectaría eso? y lo tomaría como un binario inválido? o aún sí, aunque sea un binario inválido de igual manera lo tira contra su db de firmas?

Saludos,
Nox.
#7
Ingeniería Inversa / Re: IDA Pro - Duda
27 Abril 2013, 01:08 AM
Options-General->Number of opcode bytes

Aunque esto no tiene mucho sentido, porque si tienes sincronizado el desensamblado con la ventana hex-view, cuando posiciones el puntero sobre una instrucciones podrás ver en la ventana hex-view sombrado los opcodes que pertenecen a dicha instrucción.

Saludos,
Nox.
#8
Le de "Run All Test" y me detectó QueryPerformanceCounter, el problema es que era la primera ejecución y ni el olly tenía abierto... ni ningún otro depurador.

Edit:
Lo que se me ocurre ahora, con sueño dolor de cabeza y todo la fiaca del mundo, es hacerle un hook (plugin para olly) a las funciones  de timming y devolver 0 o un valor bajo.

Nox.

#9
Yo le tiro a que es MIPS - ARM  ;D

Guiándome  del post anterior (da lala leer todo), encontré esto:

http://resource.renesas.com/lib/eng/e_learnig/superh_e_learning/44/index.html



:xD

Nox.
#10
Aquí hay una buena información de como empezar.

http://androidcracking.blogspot.com/2010/09/way-of-android-cracker-0.html

Saludos,
Nox.