Mensajes

en el pasado se había hablado sobre el tema como indocumentado

http://undocumented.ntinternals.net/UserMode/Structures/PEB_LDR_DATA.html


pero respecto a el tema hay alguna literatura "PEB"
http://www.ricardonarvaja.info/WEB/buscador.php

pero en especifico este:
http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1401-1500/1451-%5BUnDocumented%5D%20PEB%2C%20accediendo%20a%20los%20modulos%20por%20Nox.pdf

http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1031-Estructura%20PEB%20Primer%20parte%20por%20GUAN%20DE%20DIO.tar.gz

mientras almacenes eip,puedes almacenarlo en un eval, luego mostrarlo con log $result

aca ya te lo habia referido de forma indirecta, en mi pasado tenia para loguear las primeras instrucciones en un archivo externo, y otros loguer, actualmente no tengo naada guardado, pero te aseguro que no es dificil de manipular el eval



http://foro.elhacker.net/ingenieria_inversa/obtener_instruccion_en_eip_con_ollyscript-t393910.0.html

amigo agradezco su respuesta pero quede igual. seria mucho pedir si le mando el .exe y me ayuda con este. lo agradecería en el alma

con esta respuesta te pueden banear y bloquear por ip, LA petición de crack esta prohibida...

pues digamos que lo que hacia en el pasado era manipular textos y por ende interpretar a partir de lo que leia era algo mas facil

volviendo a obtener la instruccion no he tenido mucho tiempo pero aun sin depurador no me es facil ver esto

mas o menos deberia ser así la idea... ojalá me sobrara el tiempo y lo verificaria..mañana intentare ver esto a ver si corre...

Código [Seleccionar] Expandir

mov uno, EIP
ITOA uno
MOV addr, $RESULT
OPCODE uno
eval "{addr}__{$RESULT}__ {$RESULT_1}"
log $RESULT


se puede, pero principalmente en los ollydbgscript con la opcion de eval, tu guardas los opcodes y luego los interpretas...

yo aca lo use en busquedas multiples..

te dejo la idea de otro script

Código [Seleccionar] Expandir



comienzoparatodos:
log "proceso6"
mov code_start,  FirstSectionVA
start6:
//
mov code_end, 7000000
jmp proceso_
vuelvedeproc:
cmp $RESULT, 0
log  $RESULT
je incrementa
cmp $RESULT, code_end
mov uno, $RESULT
mov code_start, uno   
ja nolog
ITOA uno
MOV addr, $RESULT
OPCODE uno
WRTa  sFile, addr+"  "+$RESULT+"  "+$RESULT_1
cmt uno,comentario 
lbl uno,comentario //lbl direccion, texto
eval "encontre  {comentario} {uno} {observ}"
WRTa sFile ,  $RESULT
add  code_start, 4
jmp start6



esa herramienta es una especie de loader, o cargador de proceso para cambiar el exe, si no tienes ni idea ni como cambiarlo dificil que hagas cosas similares

observa que en el foro hay temas similares de tutoriales de como se modifican programas para juegos online, uno de todos es el uso de cheat engine, luego el crear la GUI o apariencia es otra cosa

insisto, una cosa es aprender a leer las chinchetas(que estan mas que clara las normas) y otra es realmente tener idea de lo que se es posible mediante ingenieria inversa


en palabras simples, la ingenieria inversa te permite eso y más , si realmente estás interesado, de lo contrario, terminarás bajandote cientos o miles de herramientas que almacenarás para ser un buen cracker, que no tendrás ni idea de usar...

aprende lo básico guiandote en el faq, sigue con el curso de ricardo y luego explora tus límites que quieras leer(hay mas de 5mil escritos)..luego..saludos

es bonito intentar preguntar o pedir algo, pero cuando lees puedes pedir cosas mas concretas

en todo packer o cripter hay cosas en común
1)el ejecutable en lo posible se protege para no ser visible su codigo completo, por lo cual jugará con banderas, hará procesos de escritura en memoria(writeprocess, openprocess), o bien simplemente creará un archivo(createFIleA) para luego ejecutarlo, de una o mil formas, hay muchisimos programas y muchisimos crypter, y no por eso significa que no se pueda hacer nada

cuando vas por el escrito de ricardo, mas o menos por el 20 o 30 ya deberías por lo menos lograr encontrar el OEP, ya por el 50, deberías poder ya reparar la iat, y ya terminado el curso y leyendo algunas teorias numeradas, ya deberías ser inclusive mas independiente, algunos lo logran en semanas, otros en meses y otros no necesitarlos

insisto, todos tenemos historias diferentes, pero insisto, cuando aprendes a usar el depurador, complementar con un lenguaje de programación(aunque no sepas programar), tener una idea de como desempaca el programa, pero insisto, luego de encontrar el oep, reparar la iat, te queda dumpear  y confirmar si queda algo mas

normalmente en el area de malware encontrarás mucho programas crypter , como tambien troyanos y otro(troyanos son programas que sólo son visibles para sus dueños, y en parte invisible para ti...)...

saludos ^^ y como te dice flamer, a leer, cuando lees nacen preguntas pero segun como vas, pues no has leido nisiquiera las chinchetas que tanto ayudan...

Apuromafo 2013

+1  (Y)

y sobre este tema ¿ al final se pudo hacer ??

no he conocido a nadie que sea capaz de burlar la seguridad de ZFACTURA.

saludos.

cuando se desempaco, pues quedo funcional por mas de 30 dias, la nag era lo unico que faltaba, ahi esta la historia, pero por otro lado, aunque actualizen y otro, la ingenieria inversa es la tecnica
ademas hay muchos tutoriales y técnicas al respecto

si realmente te interesa el programa bien, pero si realmente quieres tener cosas mas tiempo incusive existe hasta el trial reset, osea de opciones siempre habrán

saludos Apuromafo

pd:yo no guardo ningun programa crackeado, normalmente si no sale tutorial o cosas asi, luego lo unico que queda es el recuerdo...actualmente estoy retirado, alcanzo a lo mas a revisar temas, pero no a participar haciendo ing inversa, si puedo orientar

^^

haz el intento del faq, cuando domines lo básico, luego podrás modificar cosas a gusto, antes lo veo dificil.