Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Иōҳ

#271
Cita de: Y_a-g_o en 21 Noviembre 2011, 04:01 AM

Puede ser posible que no ejecute estas 2 DLL? Digo por que ya me fije paso a paso lo que hace y nunca toca esas DLL...

PD: Como hacen para enviarte las DLL modificadas tan rapidamente? Digo las pides por telefono y te las evian en 1 min.

No creo que eso pase, las DLL no están por gusto, almenos es lo que creo.

Que pasa si no pones las DLLs se puede ejecutar el programa?, con eso te darás cuenta si son tan importantes y despejará tu duda de que nunca la toquen.

Yo digo que sí las usan, y cómo las hacen para darte las dll tan rápidamente? es que ya las tienen hechas, tan sólo para enviarlas.
#272
Abra gato escondido?

en fin...

si lo has comprado puedes volver a que te vuelvan a enviar la clave, si no lo es en google puedes encontrar el serial.

pd: Aquí no damos pescados, enseñamos a pescar.

Nox.
#273
Lo primero es pasarle un analizador de PE para saber si está empacado y el lenguaje del mismo.

EDITO: Exacto has cómo dice under, tienes la opción de que el olly quiebre cuando carga a un nuevo modulo, en DEBUGGINS OPTIONS -> EVENTS


pd: el post de under no estaba cuando postee .__."

Nox.
#274
Primero tienes que arreglar las referencias.

Para que entiendas a que me refiero debes saber el significado:
http://es.wikipedia.org/wiki/Referencia

Y creo que con un ejemplo se te aclare

mov ebx, dword ptr  [XXXXXXXX] (siendo este una dirección que coinside con alguna sección del progie)
call ebx

al reparar las referencias

mov ebx, _vbaObjSet
call ebx

Luego tienes que saber cúales son los CALLs  importantes al que debas hacer trace-into,

Ejemplo

Seguro traceando veras un
CALL dword ptr [ecx + 0A0]
CALL dword ptr [eax + 0A0]
CALL dword ptr [eax + 0A8]

etc..

El valor que retorna es la string que has ingresado, no quiere decir que sea un call que debas ingresar, para tracear por dentro, por eso es muy importante que sepas a cual hacer trace-into y a cual no.

Cómo digo y volveré a decir no es un crackme para que empieces a análizar en one. Yo sólo lo miré 1 vez, y por lo que vi muy aparte de lo que dijo Fly, es que tiene dos saltos desicivos, y que genera un MD5 con el NAME/USER (como sea xD) que ingresas.

@Tinkipinki
La subventana callstack te muestra el stack cuando estás DENTRO de un call, y cuando no estás no te lo muestra obviamente.

Creo que eso responde a tu pregunta.

en fin..

Nox.


#275
Cita de: Flamer en 19 Noviembre 2011, 18:14 PM
esque estoy analizando el crackme 3 de msck argentina y no veo donde haga las operaciones ya encontre el serial para flamer sin parchear pero me base en el resultado de thunder
para en contrar el serial es sencillo solo hay que ver la cadena de 32 caracteres que muestra y bas escogiendo el primer caracter y el segundo no. El tersero y el cuarto no y asi susesibamente hasta formar la contraseña de 16 caracteres
pero el problema es para hacer el keygen nose de donde sale la cadena de 32 caracteres  
saludos

No creo que sea un crackme para que empieces a anilizar en one!!!!, ya que Fly, redireccionó las iats a la sección dónde está la DLL MVBXXXX(como sea XD), y lo primero en reparar ahí son las referencias, para que no te pierdas demasiado rápido.

Encima es VB, yo le heché un vistaso, y las calls se me hacian conocidas, pero sin references, es una joda y peor si es VB xD.

Cómo dije lo primero es arreglar las references, para mejor comodidad y no te pierdas en los calls. Si no imagínate XD.

Nox.
#276
Cita de: Tinkipinki en 18 Noviembre 2011, 20:59 PM
Un pdf muy bien currado... ;-) si tienes tiempo y puedes seria interesante ver la 2º parte de momento con este ya hay tiempo de estudio para un buen rato.

Saludos

Me da gusto que lo hallas leido, y por ahora estoy full como veraz ya terminamos el año y pues tengo que dar los exam finales, tareas, trabajos, expos, etc. Aparte que conseguí trabajo (en realidad soy practicante), pero igual la 2da Parte ya está hecha hace ufff, sólo falta escribirla XD, de ahí tengo que mirar a la siguiente victima  ::).

Pd: También estoy con los concursos de CLS XD

Nox.
#277
grande Mafo!!!!....  ;-)

como siempre sabemos, la mejor protección es la custom (aunque esto puede ser relativo, en fin...) XD.

Nox.
#278
Cita de: Flamer en 19 Noviembre 2011, 02:27 AM
tienes muncha razón no analizo el codigo pero es que me cuesta muncho trabajo entenderlo me pierdo entre tantos mov call add sub jb y mas instruciones que hay
si se que ase cada instrucion pero me cuesta trabajo entender que ase el codigo
nose si me entiendas
saludos

Es cuestión de practicas, yo hago trace-over para pasar por las calls, y miro los cambios de los registros, si algo que no se "entiende", ahí es dónde entro.

Es decir no es necesario que entres a TODOS los calls, pero al pasar uno con trace-over, y vez que hubo algún cambio en el proggie que es de interez, es ahí cuando entras con trace-into.

Para no perderte puedes mirar la pila o apuntar las direcciones, es cuestión de práctica, luego no te "perderas" tan rápido xD.

Igual tienes a la opción Call Stack, cómo guía (si usas olly :P), o por último puedes hacer cómo dice _Enko.

Nox
#279
Tiene varios días que lo posteé en CLS, y lo traigo aquí haber si a alguien le sirva.

Dice así :)


Ya hace un buen tiempo quería ponerme un reto, este es un escrito análizando al protector tElock, que aunque desempacar no es muy dificil, quise abarcar todos los puntos que para un "cracker" ( con comillas, porque no lo soy :), sería fundamental tener en cuenta tanto como un CRC, comprueba la integridad del mismo, y controla por decirlo así los BreakPoints.

En esta primera parte hago un análisis sobre el algoritmo CRC y cómo es usado por el packer, también hay algo que es extraño, una excepción por la instrucción CLC, hago incapié en la información que es pasada a la PILA, cuando ocurre una excepción, y cómo podemos ver la el ExceptionCode, ExceptionAddress, hasta cambiar el EIP, yo diría directamente, espero que sea de su agrado.



Descarga:

http://www.mediafire.com/download.php?f7x9141f3k7tgz2

Se adjunta en la descarga:

    tElock v0.99.pdf
    UnPackMe_tElock 0.99.exe
    Copia UnPackMe_tElock 0.99.exe

Para la siguiente parte falta tocar el Anti HardwareBreakPoint y cómo hacer el Anti AntiHardware BreakPoint xD, jeje. Las entradas reedirecionadas de la IAT, y el salto mágico.

Nox.
#280
Cita de: karmany en 17 Noviembre 2011, 01:23 AM
Eso tiene pinta de ser una protección anti desempacado de UPX.

¿Cómo lo has desempacado con UPX?

PD. Por experiencia diría que lo has desempacado bien pero que tienes una protección que te queda por resolver.

o claro no contemplé esa opción...  ;D