Mensajes

¡Gracias MCKSys!

Esto me ha sacado del atasco en el que estaba. He llegado a sacar todos los stolen bytes y colocarlos en su sitio.

Todo se ha debido a que utilizaba el traceado automático en vez de F7 o F8. Lo había probado, pero me desconcertaba al ver los cambios en las líneas y no seguía con ello.

En cuanto al script lo dejo para cuando los estudie en el siguiente capítulo. Cuando lo utilice ya expondré los resultados.

Saludos.

¡Feliz 2015 a todos los que leáis esto!

Entre el 12/05 y el 28/05/2012 se trató este tema bajo el título "UnPackMe_PELock1.06.d.exe Tema39 totalmente atascado". Lo he leído, pero tampoco consigue sacarme del atolladero ya que no termino de comprender las explicaciones que allí se dan.

El que tenía las mismas direcciones que yo y que parecía haber resuelto el tema era MARIO86. con el que me gustaría ponerme en contacto, pero no sé cómo hacerlo. Si alguien puede decirle que lea este tema, se lo agradecería.

Por otra parte he conseguido llegar al primer PUSH EBP (y primer Stolen Byte) que cita el Manual en la dirección 3A6A4A y que en mi PC está en 036A4A. Pero en cuanto le doy al traceador, si he puesto entre las condiciones que pare entre 401000 y 475000, además de en POPAD y PUSH EBP, se me va al falso OEP 4271D6 al instante, y si suprimo la primera condición se me mete por las API y me pierdo.

Además, cuando ando un poco con las flechas para ver líneas anteriores o posteriores en el debugger, se modifican todos los comandos. ¿Cómo se tratan estos casos de movilidad cambiante?.

Me gustaría terminar completo el Manual de R. Narvaja. ¿Algún alma caritativa que se apiade del viejo novato para superar este escollo?

Saludos.

¡Hola!

He llegado a la Parte 39 de la Introducción al Olly Debugger y me he atrancado. Sigo al pie de la letra las instruciones y me va distinto que lo que indica el manual.

En primer lugar, aunque no le doy mayor importancia, en mi PC las direcciones del STACK empiezan por 13 en vez de 12, así la famosa 12FFC4 es la 13FFC4.

En el programa, una vez que llego al retorno de la última excepción antes de llegar al CODE, los caminos que sigue son distintos en el Manual y en mi PC.

En el Manual el retorno es en 3A6746 JMP SHORT 003A674A, y en mi caso el retorno es en 036746 JMP SHORT 0003674A. Parece que en mi caso se ha cambiado el 3A por 03.

Pero a partir de aquí todo se va al traste. Las condiciones de Trace Into que he colocado son las mismas que en el Manual, pero a mi se me va directamente al Entry Point 4271D6. Parece que no encontró ni un POPAD ni un PUSH EBP en su recorrido.

Condiciones: EIP entre 00401000 y 00475000
Command is one of: POPAD o PUSH EBP.

¿Qué otras condiciones tendría que tantear para resolverlo de otra forma?

Saludos

¡Hola!

Aclarado perfectamente el asunto.

Muchas gracias.

¡Hola!

Voy por la lección 33 de la Introducción al Cracking con OLLY del Maestro Narvaja y trabajando con alguna otra cosilla y aún no termino de entender, en la ventana de Desensamblado, la relación existente entre la columna de Hex Dump y la de Disassembly.

Yo pensaba que lo que aparece en Hex Dump traducido a binario es lo que se pasa al procesador pero, por ejemplo, leo esta línea:

Address 0040135C; Hex Dump E8 D9000000; Disassembly CALL 0040143A; Comment MessageBoxA.

E8 equivale a CALL, pero ¿qué tiene que ver D9000000 con 0040143A?

No sé si esto tiene importancia, pero si es sencillo de explicar y de entender os agradecería una respuesta.

Estas preguntas de novato ¿Habría que plantearlas en otro foro?

Saludos

¡Hola!
No me he quedado satisfecho con mi última notificación y voy a dar esta última para zanjar el tema con soluciones.

¡Tenía instalado XP SP3 en mi PC de 32 bit junto con W7 y no me acordaba! Esto de llegar a viejo...Lo he configurado para que arranque en XP y asunto solventado.

He comprobado definitivamente que el Sphynx.exe que tengo yo no funciona como el que explica Narvaja. Lo corro con OLLY sin cambiar nombre, con todas las excepciones marcadas y sólo protegido contra IsDebuggerPresent, me presenta la ventana para que ponga una clave y ahí sigue "running" hasta que le meta la correcta o pulse "exit". Si pongo la buena me sale un ventanuco en el que sólo puedo Aceptar y se termina o si le doy a exit también se termina pero sin ventanuco.

Claves: A base de tanteos he sacado dos pero creo que se pueden obtener infinitas. Las que he encontrado 1234567890 y FFFFF6522.

Asunto SOLUCIONADO.

Saludos.

¡Hola!

Realmente me pasan las mismas cosas o parecidas con el emulador que sin él en el PC de 64 bit. Tengo otro PC con W7 32 bits, pero según la prueba hecha por Microsoft, la CPU no sirve para hacer emulaciones, por lo que voy a correr Olly en W7 64bits. Lo que funcione lo hago y lo que no, lo leo.

Ya he instalado el StrongOD y sigo adelante.

Por mi parte yo daría por cerrado (aunque no resuelto) este tema, pero no sé cómo hacerlo.

Cuando me maneje un poco mejor con la toma e inserción de imágenes ya plantearé de nuevo el problema matemático de una forma atractiva, aunque antes trataré de resolverlo por mi cuenta.

Muchas gracias Mad Antrax por tus aclaraciones y consejos.

Saludos

¡Hola!

Me he instalado el Olly 1.10 en W7 64Bits  y al correr el Sphynx ni siquiera paraba en el 401000, indicando que el programa no podía gestionar una excepción. Si algún crackme no funciona seguiré la táctica de entenderlo leyendo, tal como me aconsejas, y no os daré tanto la vara.

En cualquier caso quedan en pie las otras dos preguntas.

Saludos

¡Hola!
Aunque voy picoteando por otros lugares, sigo con las lecciones clásicas.

Narvaja, Lección 22 sphynx.exe
El Hide Debugger y las Exceptions puestas como indica el programa que es parcheado y con otro nombre (Oms19.exe)
Emulación XP Sp3 en W7.

Primera pregunta:
No me funciona como indica el tutorial y me pasa lo mismo tanto si lo corro con OLLY o independientemente. Si pongo el número incorrecto se queda RUNNING a la espera de un nuevo número, y sólo se cierra si le doy al EXIT. Si pongo el bueno me sale una pequeña ventana con un botón que dice Aceptar, lo pulso y se cierra el programa.¿Es por algún motivo especial? ¿Es esto lo que tiene que pasar si no se detecta el debugger?

Segunda pregunta, matemática:
En 4010BC y siguientes el programa transforma el número que he metido como clave mediante ADC y RCL en otro que se guarda en EDX y se compara con 19372. Yo he cambiado el 19372 por el que correspondía a la clave, pero ¿Sería posible encontrar la clave original partiendo de 19372 hacia atrás, aunque sea por aproximaciones sucesivas? Si hubiese alguna forma, me gustaría que me la explicasen.

Pregunta sencilla, pero que no me la sé: En OLLY aparecen direcciones como DS:[401030] o SS y no sé si alguna más. ¿Qué significan?

Saludos.

¡Hola!

En efecto, lo que me pasaba era que, aunque yo pensaba que sí, no estaba utilizando correctamente la emulación de XP SP2.
He vuelto a instalarla en el PC (en el de W7 64 bits) y el buggers3 no se me atranca.

Muchas gracias a todos. Asunto SOLUCIONADO.

Saludos.