Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - _Enko

Páginas 1 ... 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66
#581
ASM / Re: duda add esp, 4 y crash
13 Agosto 2011, 14:35 PM
Solo un pequeño agregado, si usas funciones de la c runtime, y no quieres estar contando la cantidad de parametros que pushas para luego hacer add esp, X....

fasm te lo puede hacer por vos, win32a.inc incluye la macro ccall y cinvoke.
Código [Seleccionar]

ccall [printf], szStr, szMessage

;y si no quieres usar los corchetes a cada rato, usa el equivalente

cinvoke printf, szStr, szMessage

ccall va convertir el codigo en:
Código [Seleccionar]

push szMessage
push szStr
call [printf]
add esp, 8



saludos.

http://www.serviciotecnicocelular.com
#582
Ingeniería Inversa / Re: Ollydbg....si pero cual?
13 Agosto 2011, 14:22 PM
estas desperdiciando espacio en disco. Son todos el mismo olly con diferentes plugin que se repiten una y otra vez.
#583
Ingeniería Inversa / Re: KeyGenMe SimpleNotepad
13 Agosto 2011, 06:31 AM
NO digo que lo trates de resolver, sino que veas lo mal que analiza el codigo obfuscado olly.
La ejecutable es la misma, la diferencia: obfuscacion

y al ollly se le ponen los pelos de punta  :silbar:
#584
Ingeniería Inversa / Re: KeyGenMe SimpleNotepad
13 Agosto 2011, 06:27 AM
El segundo "Version dificil" es el mismo crackme al que le cambie la "palabra magica" y agregue algo de obfuscacion. Puse los dos juntos en el mismo hilo ya que en si serian el mismo, pero la dificultad entre uno y otro  es bastante diferente.

Por cierto que estoy preparando otro, bastante diferente ^^


under, aunquesa viste el "version dificil"? :P
#585
Ingeniería Inversa / Re: KeyGenMe SimpleNotepad
13 Agosto 2011, 02:05 AM
Cita de: Иōҳ en 12 Agosto 2011, 18:05 PM
yo lo vi muy por encima a los días que posteastes, y todo el metodo de comprobación está dentro de un call, así que solo es cuestion de llegar ahí y reversear.
Hice una actualizacion. Ahora es diferente.
#586
Ingeniería Inversa / Re: KeyGenMe SimpleNotepad
12 Agosto 2011, 00:31 AM
Ni un vistazo a esto?
http://www.mediafire.com/?6lj8ki7sd67xj0h

vamos.. no digo que lo resuelvan, pero que le hechen un vistazo aunque sea  y me den algun comentario :rolleyes:
Asi veo como mejorarlo ^^
#587
Ingeniería Inversa / Re: KeyGenMe SimpleNotepad
11 Agosto 2011, 06:10 AM
Decidi añadir un poco de obfuscacion a este keygenme.

Ahora ya no es tan sencillo como antes, al pobre olly se le ponen los pelos de punta tratando de analizar el codigo.


Si alguno lo quiere intentar, aqui esta:
http://www.mediafire.com/?6lj8ki7sd67xj0h


Pero aviso, puede llegar a ser frustrante :silbar:
#588
Ingeniería Inversa / Re: Crackme Tinkipinki Ver. 2.0
11 Agosto 2011, 00:34 AM
Lo has desempaquetado?

No tengo ni idea de como desempaquetar, así que simplemente hice un dump  que luego no corre, y como no queria analizarlo, lo meti en DeDe.

OkBtnClick en TPasswordEntryForm RVA 00549554


Abri la ejecutable  original con olly, pero no se puede hacer un BP alli, ya que la sección se crea dinamicamente....

Volvemos a Dede
Código [Seleccionar]

* Reference to: Controls.TControl.GetText(TControl):TCaption;
|
00549573   E85839F0FF             call    0044CED0
00549578   8B45FC                 mov     eax, [ebp-$04]

* Reference to field TPasswordEntryForm.OFFS_031C
|
0054957B   8B931C030000           mov     edx, [ebx+$031C]

* Reference to: SysUtils.SameText(AnsiString;AnsiString):Boolean;
|
00549581   E84605ECFF             call    00409ACC
00549586   84C0                   test    al, al
00549588   740C                   jz      00549596

NO podemos hacer ningun BP alli... uff....
Probe entonces en  SysUtils.SameText... una rutina de la vcl... pero claro, esa rutina la usa para muchas cosas.

Asi que preparamos para dar Enter al password con la ventana visible, Activamos el BP alli ( 00409ACC) y damos enter.
La 4ta vez que cae en el bp, nos encontramos con
Código [Seleccionar]

EAX 00B6E870 ASCII "[vCodi_entrat]"
ECX 00000001
EDX 005A2444 ASCII "[LastError]"
EBX 00B71A60 ASCII "vCodi_entrat"
ESP 0012FB94
EBP 0012FBFC
ESI 00B71F1C ASCII "123456" <<<<< MI CONTRASEÑA
EDI 0012FE28

En si, la contraseña tendria que estar en EAX o EDX... no se que hace en ESI, pero bueno, esta ahí... aprovechamos

Seguimos en dumb ESI,   subimos un poco, nos encontramos con cadenas que parecen una especie de script, y si seguimos subiendo.... esta el pass

Código [Seleccionar]

[vCodi_entrat]"
"=" "AJK23LM..
C.......3...Mess
ageBox "" "Enora
buena, lo has co
nseguido" ""D..
/..........Clea
rVariables "[vCo

#589
Ingeniería Inversa / Re: Duda con GetProcAddress
8 Agosto 2011, 15:26 PM
Citarntdll.KiFastSystemCallRet
te serviria solamente si pones FOLLOW IN DUMB>>Inmdiat constante y te aparece la cadena que necesitas, en este caso "KiFastSystemCallRet\0"
#590
Ingeniería Inversa / Re: Vuestra opinion sobre el testeo de crackme's
7 Agosto 2011, 06:58 AM
ring0 debugging es lo que puedes hacer con una maquina virtual.

para una aplicacion comun, estilo paint no tiene sentido. Pero si es una aplicacion que utiliza algun dispositivo externo, sea para realizar su tarea, sea por proteccion, si tien sentido saber si se ejecuta dentro de una maquina virtual.
Páginas 1 ... 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66