Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Иōҳ

#351
Tienes 3 años para poder crackear eso, empieza desde ahora, tienes harto tiempo para aprender, tú puedes animo!.

Nox
#352
Pues en OllyDBG.ini

la etiqueta
"[Placement]"

Tal vez ahí está la solución  :-\

Prueba con un OllyDBG, nuevo recien descargado....

Nox.
#353
Cita de: Tinkipinki en 12 Septiembre 2011, 20:34 PM
Uy.. vosotros vais unas cuantas clases mas adelantadas que yo y no hay quien os entienda jeje.. :xD
Igual no he sabido explicarme, os cuento:
Si abrimos el notepad con un editor hexadecimal vemos que los offset van del 00000000 al 000111F0.
Si lo abrimos con el Olly vemos que analiza el codigo de 01001000 offset 00000400 a 01008FFF offset 00007BFA.
Lo que me pregunto es porque no aparece en el Olly el codigo que va del offset 00000000 a 00000400?

Saludos



Ese es un Crackme que tengo a la mano, je es un DELPHI, ahí te enseño el OEP.

Luego te vas a la ventana Memory y vez esto

Memory map, item 19
Address=00400000
Size=00001000 (4096.)
Owner=Nox_Dump 00400000 (itself)
Section=
Contains=PE header
Type=Imag 01001002
Access=R
Initial access=RWE

Que es donde empieza el proggie.

Sí vemos el DUMP vez esto:

00400000    4D 5A       ASCII "MZ"           ; DOS EXE Signature

La ImagenBase es está (no la muestro en la img que puse)

00400134    00004000    DD 00400000          ; ImageBase = 400000

Así que si restamos la addy donde empieza el proggie (el header)

00400000 - ImageBase = Offset en disco (la que tú vez en tu HexEditor)

Reemplazamos:

00400000 - 00400000 = 0, que sería el Offset


AQUÍ, te lo explican mejor, está es la segunda vez que te doy el link, leelo, que parece que no tienes ganas de hacerlo, yo tampocó lo tendré al no leer tus próximos post.

http://foro.elhacker.net/analisis_y_diseno_de_malware/abril_negro_2008_taller_de_formato_pe_by_ferchu-t208278.0.html

Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.



#354
Cita de: MCKSys Argentina en 12 Septiembre 2011, 16:11 PM
Pero para ejecutar en .data (o cualquier otra), deberas modificar el PE header, para que la sección tenga permisos de ejecucion, o bien, darselos usando VirtualProtect...

Es que Fly tiene mente de cracker por eso de modificar el PE, jeje...

CitarNo necesariamente. Depende de:
El compilador (Si coloca o no coloca el flag NX, No eXecute)
El SO (segun la version de windows, algunas no le prestan atencion)

Exacto, aunque también se lo puedes dar a la hora de linkear, en los comandos que usas para tal acción, almenos es lo que yo hago :B
#355
No entendí muy bien tu pregunta, pero estudiastes el formato PE?, si el entry point 00401000 su RAW es el offset 400 a eso te refieres?.

Lo que creo que entendí, es que hay más arriba del EntryPoint no?

pues facil:

Formato PE

http://foro.elhacker.net/analisis_y_diseno_de_malware/abril_negro_2008_taller_de_formato_pe_by_ferchu-t208278.0.html

Cabecera DOS
Stub Dos
Cabecera PE
Tabla de secciones
1º sección
2° Sección
N° Secciones

el EP que tu vez en el Olly está en la sección .CODE, así que tenes todo eso antes de las secciones.

Nox.
#356
Cita de: scr21 en 11 Septiembre 2011, 01:30 AM
yo tengo una amiga que tiene un curriculum de 5 paginas  y aun asi no encuentra trabajo asi que por mucho que engordes el curriculum con carreras o lo que sea si no hay trabajo no lo hay xD aunque supongo que para cuando tu acabes la uni ya habremos salido de la crisis y habra trabajo..

tener 5 páginas demuestras que está mal estructurado, debe ser a lo mucho 2, y eso me  lo han dicho muchas personas que trabajan en recursos humanos, y es que tienen que leer una infinidad de CV que no leen todo, y sí tienen 5 páginas menos, si tienes 700 CV y todas tienen 5 páginas, 3500 hojas que leer...
Ellos tienen un metodo de eliminación, y si ven que tienes 5 hojas o la pasan por alto, o solo leen la primera hoja.

Y que hay si lo que le interesa a ellos está en la última =/.

Nox.
#357
Ingeniería Inversa / Re: Posible propuesta
11 Septiembre 2011, 07:13 AM
Mafo, pense que estabas mirando el VMProtect  :-\, ver un tuto así en nuestro idioma natal sería una joya :P.

Nox.
#358
Ingeniería Inversa / Re: Posible propuesta
11 Septiembre 2011, 02:51 AM
Pues en CLS todos los meses ahí concursos, donde se ponen crackmes de diferentes niveles desde algo básico como un parche, hasta un VMProtect como packer, que ahí este mes, para todos los niveles y gustos.

Se ve hasta algo de exploting (creo que así se dice).

Nox.
#359
Cita de: Tinkipinki en  9 Septiembre 2011, 21:29 PM
Gracias Иōҳ y .:UND3R:.  por vuestras respuestas.

Con el ejemplo de GUAN muy bien explicado como calcularlo manualmente pero si se pudiera hacer con un script o plugin y tener el dato al instante con solo posicionarte el la direccion pues seria mas rapido....y asi ingresar en el club de la vagancia je je .. >:D

Saludos

Bueno son simple operaciones, que seguro se pueden implementar en un script.

Nox.
#360
Windows / Re: No me lee mis pendrives :S
9 Septiembre 2011, 21:26 PM
CitarEn ocasiones se encuentra material técnico oficial muy valioso en Internet.
Me refiero al propio site de Seagate que aunque no revela ni una pizca de
información sobre el procedimiento de LLF tal como les expliqué (secreto
industrial), pero sí indica que el LLF "tiene muy poco en común con lo que
ahora llamamos 'formateo de bajo nivel' para las unidades SATA y ATA (IDE)
de la actualidad." por no decir que lo único en común es el nombre. Nótese
que coloca entre comillas 'formateo de bajo nivel' porque lo que en la
actualidad se difunde como formateo de bajo nivel realmente no lo es.
Palabras oficiales del fabricante, Más directo, imposible.

http://seagate.custkb.com/seagate/crm/selfservice/search.jsp?DocId=203931
::)

Creo que no leistes lo que puse en el anterior post.  :silbar:

Citarel LLF se hace 1
(UNA) sola vez. Lo realiza el fabricante del disco duro, no es un proceso al
que el usuario tenga acceso. El LLF es un proceso complejo que no es
accesible al usuario. Es un proceso técnico que tiene que ver con la
geometría física del disco, su estructura, la forma en que opera a nivel
físico y magnético y se utiliza para preparar al disco duro para que este
pueda ser utilizado por el usuario. Cuando se termina de realizar el LLF el
disco duro no contiene ni ceros ni unos a nivel binario.



Nox.