Mensajes

esa es una libreria hecha por windbg, si la usa

, para actualizarla bajas windbg(de windows) y la colocas ahi , por ejemplo vmprotect aprovecha un bug de 1.1, pero al pegar el de la ultima version de windgb, funciona y no crashea asi de golpe.

saludos Apuromafo

usa http://ricardonarvaja.info/WEB/buscador.php y coloca armadillo


yo alguna vez vi sobre keygenear armadillos y expuse algunos mini ejemplos

bueno, son otras historias

saludos Apuromafo

basta con desempacarlos y ya esta..o desempacarlos con la tool de arteam(armaggedon)  hay muchas herramientas

es cosa de leer

cuando vas haciendo bien las cosas, todo sale en cadena

si te enseñan isdebuggerpresent, bien, si te enseñan otros tambien,
en la actualidad es mas facil bajar algun plugin ejemplo strong OD, y tildar algunas opciones y olvidarse de que hay antidebug

no se tu , pero yo te sugiero que vayas de a poco leyendo y practicando
ojo si existen cosas densas segun el s.o. que uses

yo te recomiendo que practiques el curso en un xp sp2 o sp3

saludos Apuromafo

yo que sepa, siempre los ejecutables compilados en c++ no se puede obtener su codigo de fuente original

supongo que lo mas cercano tendras que ver como funciona..desde afuera..y intentar recrear 

depurar si podrias, pero aun si supieras usar bien hexrays, requiere practica y saber conocer variables.
usa http://ricardonarvaja.info/WEB/buscador.php  para palabras como "linux", como "en c"  entre otros

entrypoint:
CPU Disasm
Address   Hex dump          Command                                  Comments
02364B58    ^ E9 F7B509FE   JMP 00400154


luego vemos: una rutina de descompresion 
00400154      BE 1CE02402   MOV ESI,0224E01C
00400159      8BDE          MOV EBX,ESI
0040015B      AD            LODS DWORD PTR DS:[ESI]
0040015C      AD            LODS DWORD PTR DS:[ESI]
0040015D      50            PUSH EAX

si haces un leve scroll
CPU Disasm
Address   Hex dump          Command                                  Comments
004001F5      FF53 F4       CALL DWORD PTR DS:[EBX-0C]
004001F8      AB            STOS DWORD PTR ES:[EDI]
004001F9      85C0          TEST EAX,EAX
004001FB    ^ 75 E5         JNE SHORT 004001E2
004001FD      C3            RETN
004001FE      0000          ADD BYTE PTR DS:[EAX],AL
00400200      0000          ADD BYTE PTR DS:[EAX],AL
00400202      0000          ADD BYTE PTR DS:[EAX],AL
00400204      0000          ADD BYTE PTR DS:[EAX],AL
00400206      0000          ADD BYTE PTR DS:[EAX],AL

veras que el ultimo comando es un retn, si colocas bp en ejecucion,luego F9 para correr, luego al pulsar f7 llegas al oep


OEP(original entrypoint)
CPU Disasm
Address   Hex dump          Command                                  Comments
005BE1D4      6A 60         PUSH 60
005BE1D6      68 D0376C00   PUSH 006C37D0
005BE1DB      E8 E02E0000   CALL 005C10C0
005BE1E0      BF 94000000   MOV EDI,94

por lo cual queda confirmado el oep dado por tincopasan

respecto a la descompresion, me parece mucho que esto que vemos es como un stub de algun juego o algo no puedo seguir mucho
CPU Disasm
Address   Hex dump          Command                                  Comments
005BE1F4      FF15 EC926A00 CALL DWORD PTR DS:[6A92EC]

este call indica un lugar que no procesa bien

pero el hecho es claro..basta que tengas bien tu oep  y sepas restar la imagebase o bien copiar el rva

saludos Cordiales Apuromafo

no deberias preguntar en programacion? o en otros s.o.? realmente en ing inversa es extraño

depurar con gdb deberia ser posible, pero las librerias o cosas de QT nunca he probado cosas asi
arteam recuerdo que tenian algo de experimentos en mac.. en la lista de ricardonarvaja puede que haya algo pero no es un campo tan explorado

Hola a todos y gracias por adelantado. Ire al grano estoy haciendo el tutorial de Ricardo Narvaja pero he tenido un problema cuando miro en view-memory luego search y pongo la password que puse ( ya que el programa no tiene boton check y debo buscar en la memoria) me sale que le demos a Ctrl+L pero me pone abajo 'item not found', y entonces no me sale como en el tutorial. Bueno espero vuestra ayuda y gracias por ayudar a un novato 

que api usaria el programa para leer lo que escribes en el teclado?, que eventos que estan sucediendo te pueden ayudar


yo insisto, aun debes seguir leyendo, usar solo busquedas sin bp en access, sin reconocer que recursos, donde esta el id del recurso, donde esta leyendo aquel evento, es como decir querer escalar, sin los materiales necesarios

ademas debes saber el lenguaje que esta hecho y analizar por encima antes de ..(pueden haber packers de por medio)


saludos Apuromafo

el tutorial de ricardo se hizo en xp, si usas windows 7, 8 , cambiaran muchas cosas  aparte de comenzar con permisos de administrador, lo segundo es que las apis normales siguen segun haya o no DEP, bueno hay mucho que conocer

intenta con cosas conocidas, luego con cosas desconocidas, inclusive te puedes ayudar de compatibilidad o maquinas virtuales (la de oracle es gratuita)

saludos Apuromafo

leer el faq, con la ingenieria inversa aveces se logran BRUTEFORCE, o bien programar keygens, pero para eso debes dominar la rutina

inclusive te podria hablar de armadillo, si tienes un serial correcto obtienes 2 posibles vias a seguir,  hay muchos algoritmos hoy en dia como MD5, TEA, TEAN entre otros cientos..

creo que date por vencido si no es lo tuyo leer (lee ademas las normas del foro, te ayudara)

todo es paso a paso, poco a poco, los exe tambien se alinean en tamaño, peso recurso, no es llegar y cambiar una direccion(los recursos luego no se usaran y luego dara error)

no siempre se cambian las string, se cambian las direcciones donde se leen

es diferente cambiar
mov eax,"hola"
que cambiar mov eax,direccion hola

ademas como comentaba al principio, yo creo que todo va en como vayas aprendiendo a usar tu depurador

te sugiero codifiques algo en .net, luego vas modificandolo, cuando ya domines el tema, ya deberias ser capaz de maniobrarlo a comodidad,