Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - TaU

#1
He estado buscando más info al respecto y en el capitulo 11 y 12 del curso de Ricardo Narvaja se estudian en detalle los HBP y los BP condicionales.

De todas formas muchas gracias tena, con tu explicación me queda cristalino :D



#2
Gracias por pastearme la ayuda MCKSys Argentina, como estoy en el Vista x64 no puedo abrir directamente el archivo de ayuda del Olly, dice que está en un formato obsoleto :P
#3
Hola tena,

Emmm... Un BP condicional log en la api?
Podrías ponerme un ejemplo?
#4
Otia!! juas.... ahora que me has iluminado me parece increíble que no se me hubiera ocurrido antes... como suele pasar con todas las buenas soluciones :D

No creo que hagan falta las capturas de pantalla, pero gracias de todos modos ctlon.

edit:
Cuando publiqué el post vi que ya habías subido las capturas, gracias de nuevo ^_^!
#5
Hola ctlon,

Gracias por las ideas :)

El problema de hacerlo con un hbp on access es que al principio los datos todavía no están ahi, por lo tanto eso tendría que hacerse una vez ya se han cargado, con lo que probablemente ya sea demasiado tarde...

Lo de hacerlo por la api es la manera que estoy intentando desde hace un rato, pero hay muchos modulos posibles y en cada uno hay que poner los BPs de las apis a mano, y ademas se accede al registro en multitud de ocasiones con lo cual igual me tiro dandole al F9 tres dias seguidos :P

Alguien sabe si eso se puede hacer con algún script o algún plugin para Olly?
(me refiero a meter un BP automáticamente cuando se acceda a una clave de registro determinada y conocida)
#6
Hola,

Estoy trasteando con un programa que usa varios módulos. El módulo que en teoria valida el serial-requestcode-autorizecode lo he parcheado sin demasiados problemas para que llegue al punto deseado sea lo que sea que se le meta como autorizecode, de manera que saca la ventanita de codigo correcto y te dice que reinicies el programa para que funcione sin limitaciones.

El problema es que cuando lo reinicio el programa me vuelve a pedir el serial-request-autorize como si no lo hubiera metido antes.

Mientras estaba traceando he visto que los códigos que se generan a partir del serial (los de request-autorize) se van metiendo en el registro de windows en una clave concreta. Supongo que lo que pasa es que cuando se inicia el programa al cargarse alguno de los otros módulos se realiza otra vez el proceso de comprobación de las claves de registro, ahi se de cuenta de que no son legítimas y resetea el proceso de autorizacion.

Para pillar el módulo que hace esa segunda comprobación necesitaría averiguar alguna manera de decirle al Olly que meta un BP cuando se intente acceder a esa clave en concreto del registro, pero... ¿se puede hacer algo asi?


Un saludo.
#7
Bueno, ya le he hechado un vistazo al Feryno y aunque parece que va muy fino en entornos x64 lo veo a años luz del Olly en cuanto a funcionalidad, al menos asi a primera vista...

Total, que ajo y agua...

La buena noticia es que con el Stealth64 1.2 para Olly puedo debuggear sin ningun problema en mi Vista x64 las apps de x86.

El Olly Advanced efectivamente tambien te da la opción de compatibilidad con x64, pero no me ha hecho falta probarlo.

Lo dicho, si alguien sabe de algun buen tuto para Feryno o IDA version x64 lo agradecería.


Un saludo.
#8
Vale, creo que despues de leer un rato por ahi voy entendiendo un poco más de que va este script de Olly. Parece ser válido para debuggear aplicaciones x32 en entornos x64, no sirve para apps x64.

Además hay mejores herramientas que esa para hacer lo mismo también con Olly pero sin usar el OllyDBGScript, por ejemplo el Sealth64 1.2 o el Olly Advanced 1.27.

El caso es que no se si me he vuelto gilipollas de repente o es que no va la web de tuts4you, pero no he sido capaz de bajarme ninguno de los tres plugins de Olly que os he puesto desde esa web... Siempre que le doy a descargar me redirige a la sección de buscar... Alguien más lo ha probado?

Edit:
Vale, efectivamente me habia vuelto gilipollas de repente... ya funciona la descarga...
#9
Muy buena la web de tuts4you, pero no consigo encontrar nada de x64 ahi... Aunque voy a seguir intentándolo porque la web es extensa de cojones y no estoy seguro de haber buscado en todos los huecos...

En cuanto al IDA... preferiría evitarlo, me siento mucho más comodo con el Olly...

Acerca de lo que vi en otra web para hacer funcionar el Olly en apps x64, se trata del siguiente script posteado aqui por uber.core:

CitarAh well to all of you who think you cant use ollydbg in a Vista x64 Enviroment the biggest noob of all would like to prove you wrong. I have a script that bypasses the error I was getting and once loaded, all you have to do is use the "trace into" button and happy cracking!   Just put this in your ollys script folder! I recommend getting the CrackersKit! Since I'm not sure if there are any dependancies on the Scripts folder itself.

copy and paste this:

// Get address of api to patch away
gpa "ZwSetInformationThread", "ntdll.dll"

// Store it in eax
mov eax, $RESULT

// Write the 'retn 10, nop' at beginning of api
mov [eax], #c2100090#

// Let program run until first exception
run

// Just step into exception twice
esti
esti

// Now step over it and let the program execute...
esto

// ... until it breaks at EP.
cob

// Place a nice comment there. Now we SHOULD be at EP.
cmt eip, "[ POSSIBLY PROGRAM'S ENTRY POINT ]"

-Then save it in notepad with the file extension .osc -


"Noob'n It Since Windows ME"

Como dice ahi arriba, recomienda usar el CrackersKit para asegurar que funciona ya que no se acuerda de si alguna utilidad de ese script pertenece al Kit.

Nunca he usado plugins o scripts en Olly, asi que no tengo ni idea de si esto va a funcionar o no. Parece que ha llegado el momento de aprender a usarlos :)

Por cierto, al parecer hay un dbg nuevo en escena vagamente similar al Olly que si que funciona en x64 de modo nativo, es el Feryno. Voy a ver si aclaro con él también...

A ver si encuentro algun tuto para los scripts de Olly y para el Feryno...


Saludos
#10
Hola a todos,

A pasado mucho tiempo desde la ultima vez que me pasé por aquí... :P

El caso es que ando buscando información para hacer Ingeniería Inversa en sistemas de 64 bits. Agradecería cualquier información al respecto tanto en tutoriales como en herramientas.

Por cierto, he leído en algún sitio que hay una manera de usar el Olly en entornos x64. Podría ser cierto algo asi?


Un saludo.