Mensajes

en mi recuerdo casi siempre cada programa tiene su propio formato y no siempre usan los mismos algoritmos de compresion (puedes tener un archivo zip en memoria, un aplib, etc)

en general cualquier editor de recursos tiene la idea de reconocer formatos conocidos que estan estructurado en la sección de recursos donde se supone que uno podria alojar el icono del programa dialogos y mas y aun asi no siempre son accesibles por algun packer o protector, ejemplo la opcion xbundle de ciertos programas esconde del ojo visible muchos archivos, lo mismo el tema de virtualizar codigo...aun accediendo a la memoria no siempre se tiene permiso para acceder

pensando que es algo simple:

sea para exe de x86, exe de x64, .net, delphi, vb c++ o el que sea siempre la idea es esa puedes encontrar un editor de recursos especifico para ello no se resource hacker, pexplorer resturner etc

respecto de analizar algo en la memoria y volcarlo de la ram sea con un editor hexadecimal es una buena idea cuando conoces las cabezeras de los archivos , pero aun asi sigue siendo necesario conocer el tamaño del mismo o depurar para ver cuando accede a ese recurso, siendo necesario usar herramientas como 010 editor , hex editor entre otras

aun asi en la posibilidad de extraer imagenes y recursos conocidos existen herramientas que permiten la extraccion que se conoce como ripping, en forma simple puedes usar EXEInfo PE en la opcion "rip" que esta abajo de exit que haria automaticamente sobre el programa sin ejecutar...o en tu volcado...

por otro lado he conocido algunos que trabajan en runtime del team at4re el cual puedes buscar como  XRipper v0.8 Build 726 que tambien es bastante intuitivo de usar


sea cual sea el caso, para mi parecer siempre es mejor tener el recuerdo de como se ven los graficos, sacar foto de lo que me gusta o bien crear lo que me agrada


Saludos Apuromafo

que es sentry mba
http://www.taringa.net/comunidades/hacker2011/8962303/SENTRY-MBA-Fuerza-Bruta-contra-web-s-con-user-mail-password.html

pregunta que no funcione la aplicacion como lo hace diferente con la ing inversa?

posiblemente el autor no sabe que no funciona con esa web o claramente identifican cuando le hacen bruteforce...

sea cual sea el caso, creo que no corresponde a ing inversa

en el pasado para dumpear se usaba lord pe porque si no tenia permisos de memoria (lectura ) el programa usaba una opcion que si le daba permisos o lo llenaba con ceros...

por otro lado scylla esta pensado cuando ya no estas en windows xp, sino mas bien en windows 7,8,8.1 , 10, esto es porque la iat ya no trabaja siempre con las mismas apis (jmp api), sino mas bien un (trozo de api y luego jmp api) ademas de posibles randomizacion y cambios de direcciones (cada vez que ejecutas el exe se ejecuta en direcciones diferentes segun tenga sus opciones


respecto al bad signature, posiblemente sea que hay trucos adicionales , recuerdo uno que hacia apuntar al pe header que tenia x secciones, y solo tenia un numero muy menor haciendo crashear al import rec y a otros,


siguiendo con el tema que es "dll " recuerda que debes hacer 2 dump con diferente imagebase dado que deberas reparar los reloc


herramientas de unpacking siempre existen desde quickunpack para xp, herramientas como unpacker de pecompact de nachodj, unpacker de pecompact de FUU de NCR ([F]aster niversal npacker )

y lo mas delicado es que si necesitas ensayar deberas siempre hacer el proceso con algo conocido (de menor tamaño) antes de intentar algo de 8gb

Saludos cordiales Apuromafo

es posible usar algunas paginas para revivir contenido del pasado aqui un ejemplo

http://www.apuromafo.net/?p=489

en práctica los convertidores de bat a exe trabajan tal cual como los stub de los troyanos, si se puede

solo debes saber de ingenieria inversa, por otro lado hay programas comerciales para bat a exe que además ofrecen contraseña (normalmente protegido por md5) los cuales luego de brutefore al md5...pues tienes acceso a descomprimir el archivo

un ejemplo real serian 2 retos de yashira.org los cuales estan de bat a exe y para solucionarlo, debes tener claramente el bat...los cuales con ing inversa normalmente depuras con ollydbg colocas bp en writefileA/CreateFileA y luego observar el funcionamiento luego de su retorno..antes de execute... eso


Saludos Apuromafo

el inicio está en el faq
https://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo_aprende_ingenieria_inversa_desde_cero-t345798.0.html

en general toda introduccion cuenta con tutoriales
aqui te dejo algunas en mi blog personal

http://www.apuromafo.net/2016/10/25/introduccion_cracking/


la que mas recomiendo es la de http://www.ricardonarvaja.info.info porque tienes 2 tutoriales uno para ollydbg y otro para IDA

el de ollydbg es algo como 59 tutoriales, y el de ida lleva unos 30 escritos...


aun asi no siempre se logran resultados a la primera, recuerdo mi primer programa vencido me tomó meses solo depurarlo, y cuando ya aprendi ing.inversa podia tardarse no mas de 2 minutos

por eso es necesario leer y practicar

Saludos Apuromafo

cifrado con base64:

aHR0cDovL3d3dy5zb2Z0YW55LmNvbS93aW5jaG0vDQoNCk5hbWU6IHRzcmgud3MNCkxpY2Vuc2U6IDNQOU9HT0lXSU9JRVlIVElHQ0MtQUNFRC1QM0s4

puedes usar un decode
https://www.base64decode.org/

hola, es como decir, me ayudas a construir un mueble?

claro, dime que dimensiones tienes del mueble...no..solo tengo el arbol...


cuando no sabes de ingenieria inversa tienes el pc, buscador, informacion pero nada al minuto

cuando sabes de ing inversa es como decir, tengo un mueble de x dimensiones y quiero cambiarlo a esta y dimensiones...osea ya sabes que hacer solo no sabes como modificarlo a gusto


volvamos al tema en cuestion
el inicio está en el faq
https://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo_aprende_ingenieria_inversa_desde_cero-t345798.0.html

en general toda introduccion cuenta con tutoriales
aqui te dejo algunas en mi blog personal

http://www.apuromafo.net/2016/10/25/introduccion_cracking/


la que mas recomiendo es la de http://www.ricardonarvaja.info.info porque tienes 2 tutoriales uno para ollydbg y otro para IDA

el de ollydbg es algo como 59 tutoriales, y el de ida lleva unos 30 escritos...


aun asi no siempre se logran resultados a la primera, recuerdo mi primer programa vencido me tomó meses solo depurarlo, y cuando ya aprendi ing.inversa podia tardarse no mas de 2 minutos

por eso es necesario leer y practicar

Saludos Apuromafo

pd:amtlib.dll  es una dll que tiene por defecto programas con adobe, en general hace una validacion a un archivo db hacia internet(se puede bloquear con firewall), luego te permite elegir que version quieres la cual solo es cambiar saltos (osea  a nivel inicial de cracker), existen crackeados para x86 y x64, pero tristemente para depurar x64 no hay muchas herramientas (ida , windbg, x64dbg) bueno... veamos como te vá

son logs de teamviewer, antes que lo desinstales , date una vuelta a conocer un poco de la teoria y la práctica

todo programa que corre en windows, debe tener permisos para ejecutar...si usas modo admin , de seguro dejas que todo tenga permiso

por otro lado, para acceder a internet tienes las opciones de navegador...y los programas con permisos...existe algo llamado firewall
el mas simple y manejable que te aconsejo es este:
https://tinywall.pados.hu/

pero la advertencia es que si la instalas, debes configurar el acceso a internet, porque por defecto al iniciar te bloqueará todo acceso a internet

entonces si le colocas que le das permisos a tu navegador o al programa que necesite internet(conocido por ti)
por mucho que tengan 100 troyanos, no podrán acceder a internet, a menos que la aplicacion le de las reglas de firewall de acceso...

Saludos Apuromafo

pd: https://www.teamviewer.com/es/uninstall/

[ahora bien pensando cuando termines de leer el faq, como algo mas específico]

en resumen lo que te comenta tinconpasan es lo mas indicado:

1)abrir el exe  con un editor hexadecimal(tipo ultraedit o winhex) y buscar las cadenas

esto implica buscar la string,pero requiere que el tamaño sea el indicado, si te pasas requerirás modificar desde el lenguaje del programa


2)2) abrir el exe con un editor de recursos(tipo resource hacker o exescope) y buscar las cadenas
puedes modificar el programa con recursos, pero dependerá si no está comprimido

3)usar ollydgb y buscar las direcciones de las cadenas a modificar
casi todos los programas de 86bytes pueden ser depurados con ollydbg, lo cual debes buscar las referencias, modificar y guardar los cambios, y saber bien si son carácteres Unicode y ascii

4)4) aveces las cadenas no están en el exe sino en algún archivo de recursos(dll,ocx,etc)

en este caso es necesario encontrar el formato el cual tambien trabaja con el tema de editor hexadecimal, se suele usar herramientas codeadas de forma personal o bien inclusive editores como 010 editor

5)otras veces simplemente no se ven las cadenas por estar protegido o las cadenas se dibujan sin estar como recursos

en este caso muchas veces hay imagenes, solo es tema de reemplazar y cambiar..dependiendo del lenguaje que estén



si te gusta saber como es una realidad , realmente es mucho mas facil que aprendas inglés a que traducir sin saber como funciona un programa sin conocimiento...te sugiero leer el faq del sitio (de foro el hacker sección de ing.inversa)

ahora bien pensando cuando termines de leer el faq, como algo mas específico


entiendo la necesidad de aprender a traducir programas, pero no seria mas facil aprender el lenguaje inglés para no tener que tocar el tema?bueno entiendo que quieres traducirlo si o si

los enlaces de taringa estan vivos, por lo que veo que no quieres bajar algo traducido y verificar que han hecho, si modificaron los recursos, si modificaron un exe, o bien si solo cambiaron algunos archivos...

1) los programas no son textos, tienen un formato desde pe/header configurado por windows, todo depende del sistema operativo, una vez que lees el faq y depuras programas comprenderás que lo más rapido para ver como esta hecho un programa es con un editor hexadecimal, dado que no confundiran los espacios ni simbolos raros..todo tendrá con su formato hexadecimal, por otro lado..aunque sepas donde modificar (cambiar por ejemplo mode por modo) hay palabras mas breves o abreviadas que requerirán otro esfuerzo mayor ejemplo "die" se traduce en morir, deceso etc, entonces podemos decir que si modificas hexadecimalmente tendras 3 valores en vez de las 5 que necesitas, para ello pueden usar un editor de recursos y verás que hay cadenas asociadas

el recurso ejemplo 1 tiene direcciones 4010 que dice "die",3 , puedes modificar por "morir",5 haciendo una traduccion mas o menos de alcance, el tema es que cualquier editor de recurso requiere que el programa no esté empacado/protegido


entonces para ello volvemos al mismo discurso, como se puede saber que está o no protegido?, con un programa que analiza el pe/header para verificar si tiene alguna signatura conocida de packer, para esto usan rdg detector o PID, luego de ello si tiene algo conocido ,basta leer del tema para saber que hacer


ahora bien, pensamos que leiste el faq, practicaste reversing a nivel inicial, sabrás usar un depurador y usar el lenguaje assembler a nivel básico que sabras cambiar aunque sea una instruccion jne a je o jmp a nop  entre otras


te darás cuenta que en un depurador puedes manipular cualquier direccion, puedes crear a gusto, y dependerás de nuevas herramientas ( editores que permitan agregar secciones) entre otras

entonces luego puedes mirar básicamente que una string que dice die realmente es algo asi

push 425055  "die"

puedes en tu codigo colocar una string llamada morir y luego eso está en 481055

cambias la instruccion de Push 425055 a push 481055  y listo , guardas los cambios y estás listo...

pero si el programa está empacado, no guardará los cambios dado que estás en runtime, puedes usar herramientas para usar parches/inline y tambien lograr el resultado esperado


esto está al nivel de cualquier persona, cuando te lo propones, el tema real es que no todos disponemos del mismo tiempo e interés

modificar un archivo con notepad ++ es como mirar  un documento de zip con un block de notas y no con winzip/winrar/7zip, algo ilegible cuando no usas su "formato " en que fue creado o que se usará


saludos Cordiales
Apuromafo