Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - w0nt0n

Páginas 1 2 3 4 5
#21
Ingeniería Inversa / Duda en análisis de malware
8 Febrero 2012, 19:48 PM
Buenas!

Me estoy dedicando a analizar un poco de malware y me surge una duda.

El programa es una versión del Security Shield 2011 (rogue). Viene comprimido con un compresor desconocido para el PeID o el RDG. Tras jugar un rato, llegué al OEP (o lo que yo creía que era el OEP). Hago el dump, arreglo la IAT (sin problemas) y, cuando todo parece que va como la seda, el programa no arranca. Bueno, sí arranca pero se estropea enseguida. Como no tengo nidea de por qué puede pasar, arranco los dos exes (el original y el dumpeado) y, una vez el original está en el OEP, comparo cómo se van ejecutando. Me fijo en que, para una función que parece tener el mismo nombre, el original lo carga desde ntll y en el dumpeado la arranca desde kernel32. No entiendo por qué pasa esto.

Al final lo que hice fue esperar a que la rutina de desempacado cargara el programa original en la memoria y lo dumpee desde allí, pero sigo sin entender por qué el dumpeado no funcionaba.

¡A ver si me podéis echar una mano!

Saludos!
#22
Ingeniería Inversa / Ayuda con un Crackme
18 Julio 2010, 14:10 PM
Buenas,

Estoy jugando un poco con unos crackmes y estoy con uno que no sé resolver. Me explico:

Llego a la rutina que calcula el serial y es como sigue:
Código [Seleccionar]

004013C0  /$ 60             PUSHAD
004013C1  |. C1C0 02          ROL EAX,2
004013C4  |. A3 6D314000   MOV DWORD PTR DS:[40316D],EAX
004013C9  |. 05 79740000    ADD EAX,7479
004013CE  |. 35 33323100    XOR EAX,313233
004013D3  |. C1E0 06         SHL EAX,6
004013D6  |. A3 72314000    MOV DWORD PTR DS:[403172],EAX
004013DB  |. 61             POPAD


Hasta donde entiendo, lo que hace es (en decimal):

Multiplico por 4 (en realidad se añaden al final del número en binario dos ceros lo que es lo mismo que multiplicar por 4)
Le sumo 29.817
Hago un XOR con 3.224.115
Multiplico por 64 (técnicamente no es esto pero el resultado que obtengo es el mismo, no?)

Cuando acaba la rutina, lo compara con 3.272.071.856 y en función de eso decide si es válido o no. Por lo que entiendo, la solución a este problema es:

Código [Seleccionar]
x = {XOR [(3.272.071.856/64) , 3.224.115] - 29.817}/4

El resultado que obtengo de esto es 13.577.784 (o 13.577.783 si hago las operaciones en hexadecimal). En cualquier caso cuando introduzco el serial, el resultado después de las operaciones el 3.272.071.691.

Haciendo todas las operaciones en hexadecimal el número con el que se compara es el C307DA80 y el que obtengo usando mi serial C307DA0B, siendo la diferencia entre estos dos números en hexadecimal de 75 (117 en decimal), que es distinto de la diferencia si hago todos los cálculos en decimal.

No tengo muy claro el porqué de esto y quería saber si alguien me lo podría explicar.

Un saludo
#23
Materiales y equipos / Re: Cual de estos adaptadores usb wifi es mejor??
27 Mayo 2008, 00:57 AM
Marca: Senao
Modelo: EUB-362-EXT
Tipo: USB Wireless
Chipset: Atheros
Si quieres auditoría wireless el chipset de atheros en usb es caca. El edimax ha recibido muy buenas críticas y si miras por seguridadwireless verás que hay un análisis del dispositivo.

Un saludo
#24
Wireless en Windows / Re: donde se guardan las claves en windows de las redes wifi
20 Mayo 2008, 01:15 AM
http://www.nirsoft.net/utils/wirelesskeyview.zip
Este progamilla te recupera las claves WEP y WPA almacenadas en windows xp. No he comprobado los links así que puede que no tiren pero fue uno de los primeros resultados que me aparecieron en google buscando "claves almacenadas windows xp" sin las comillas.

Un saludo!
#25
WarZone / Hack-Web_Atacame
5 Mayo 2008, 18:04 PM
Buenas! Tengo el siguiente problema:
He encontrado un fallo de XSS de los de la prueba de "Atácame!" pero no consigo leer el hash dinámicamente. He probado desde la propia página (atkm.php) usando la barra de direcciones para ver si conseguía sacar algo pero para código del estilo de "javascript:alert(document.getElementsByTagName("pre")" y similares no consigo que salga nada más que un "[object HTMLCollection]". El problema (a mi juicio) está en el estupido "alert(" que precede a la página y no sé cómo evitarlo. A ver si alguien me puede echar una mano.

Un saludo!

EDITO:me alegro de que nadie me contestara. Ahora ya sé la ***** que hacía y lo pobre de la pregunta. Si es que la ignorancia es la madre del atrevimiento, pero es lo que toca para de aprehender. ;D
#26
Dudas Generales / Re: driver Analog Devices AD1981B(L) @ Intel 82801DB ICH4 - AC'97 Audio Controll
27 Abril 2008, 12:07 PM
Creo que son estos. Aquí tienes:
http://drivers.softonic.com/ie/19023/Analog_Devices_AD1981B

Un saludo!
#27
Juegos y Consolas / Re: Lineage 2 servidor
28 Julio 2007, 11:00 AM
Yo cuando jugaba le daba en este:
http://www.frienzl2.com/

No es español pero tiene una comunidad española bastante grande, o por lo menos lo tenia. En cuanto a los rates hay un par de servers, uno de ellos a 7x y otro a 30x y recuerdo que era casi necesario el unirse a un clan. Además tenían eventos y todo ese tipo de tonterías graciosas.
Saludos!
#28
Juegos y Consolas / Re: Frets on fire, juego gratuito para los amantes de la guitarra
28 Julio 2007, 10:13 AM
Alguien sabe si se puede enchufar la guitarra del guitar pro para jugar a este juego?
#29
Juegos y Consolas / Re: CONDENADO JUEGO DE PATH OF NEO
21 Julio 2007, 11:18 AM
Prueba sustituyendo el exe original por un crack y quitar los medios anti-protecciones que tienes puestos. Puedes mirar en gamecopyworld.com por ejemplo.

Saludos.
#30
WarZone / Re: Para los Guerreros de: WarZone !
2 Julio 2007, 17:21 PM
JEJE. Lo que pasa es que tienes que iniciar sesión en el warzone que se te habrá "acabado" :P.
Saludos!
Páginas 1 2 3 4 5