Mensajes

no entiendo la pregunta, pero veamos 2 casos puntuales

si tengo en el entrypoint 401000 en un upx (antes de descomprimir esta en 0, y despues de descomprimir esta el codigo)
comienza con pushad termina la desencriptacion con popad, el tema es que uno asume que el famoso entrypoint esta fisico, y solo esta virtual luego de desempacar,
por eso famosamente se desempaca (mediante volcado) a traves de varias apis , pero el tema es que luego de reparar la iat, es la parte donde puedes parchar a la gana

cuando se parchea inline, cuando no desempacaras...

ahora viendo el otro punto, pensando en un mundo ideal
digamos que quieres escribir 20 rutinas y que no sabes si resultara o no
para eso se creo un plugin llamado "multimate assembler" ademas esta en los updates de este foro , espero que si no lo conoces intentes conocerlo,

digamos que quieres ensamblar en 40100 y 50000
esto seria asi

<40100>
@hola:
jmp @codecave
push @hola
call nombredelaapifamosa
ret
<50000>
;codigo

si realmente es algo a imitar o algo favor subir ese video, si no es asi, favor facilitar mas informacion porque asi sin mas no entiendo la pregunta

saludos Apuromafo

veamos con un mini tiempo que tengamos:

1)  primer nivel:pulsar el boton (asi tal cual como opcion)
2) dice abrir la puerta "open" luego al ver el codigo de fuente refiere ver el 2ndfloor
tercer nivel: abierto el 2nd florr, refiere de elevator, osea ir al tercero, osea
3) 3rdfloor
http://www.matiaskatz.com/challenge/3rdfloor.html
ahora muestra un hex
<!--

536f6d6520666c6f6f72732061726520656d7074792c20676f20737472616967687420746f2074686520313874682e204f682c206c657473206c6561766520746865207374617469632070616765732c206c65742773206d6f766520746f2064796e616d69632c207368616c6c2077653f

Don't HEXAGGERATE, it's not that difficult

-->
al traducir dice algo de ir al nivel 1x...
luego estamos en
4)
http://www.matiaskatz.com/challenge/18thfloor.html

luego probamos lo que refiere, las paginas dinamicas pueden estar en php

5)http://www.matiaskatz.com/challenge/18thfloor.php

ahi vamos en el mismo nivel..el problema ahora es que no creo que lo vuelva a ver..
saludos Apuromafo...

oki, dandome un tiempo intentare crear una carpeta de ayuda..quizas despues me de una vuelta, pero primero es lo primero (que este un poco mas estable el disco duro y por otro lado mas estable el internet)

animo!..vas bien

despues de pillar el oep el tema siguiente es dumpear, (volcar el proceso), hay plugins de NCR, hay plugins de ollydump, hay tools como LordPE y/o otras, luego viene el tema de revisar que lo dumpeado tenga la informacion necesaria/(digamos que en el comienzo todas las tienen, pero a futuro hay algunos antidump)...luego viene el tema de la iat, (hay algunas directas, otras que nisiquiera las detecta o inclusive otras que matan a las tools por el nombre que tienen, por eso aveces hay que inmunizar hasta las propias tools que servían )...

exito en todo, ya vere como seguir comentando mas temas a medida que aparezcan

por ejemplo compara desempacar upx,  fsg,petite, pecompact
versus un molebox, PESPIN, acprotect, upack  que tienen otros temas muy diferentes en estructura

el concepto de nanomite (excepciones), es un poco mas denso y solo hay como 3 o 4 packers que lo usan, en este caso piensa que el mas comun de escuchar es armadillo, pero aun asi , no deja de ser que existen muchas cosas detras de los packers, que uno cree que no existen (los sdk)

saludos cordiales
Apuromafo

muchas veces uno suele bajar StrongOD (desde tuts4you ) y luego el tema es aplicarlo como plugin, existen decenas de antidebuggers inclusive aun mas detecciones custom, pero luego hay 2 detalles

1) lo que ves esta sin ejecutar
2) lo que ves esta luego de haber sido ejecutado

1) si esta sin ejecutar podrias parchar directamente
2) si esta ejecutado debe ser inline, o saber mas o menos de donde se descomprimió, aqui juegan muchas variables


digamos esto
mov eax,isdebugged
cmp eax,estadectado
je @terminateprocess
no soy detectado
ret
@terminateprocess:
soy detectado
ret

aveces lo que uno hace es o alterar el salto(no vaya a terminateproces
o bien desde el mismo terminate proces, colocarle un retorno(peligroso) o salto al lugar bueno(lo mas comun a hacer)

emm de ollydbg 2 suelo usar una version llamada SND 2.0

te comento, en mis tiempos libres solia participar en un foro ingles llamado Seek And destroy, cuando quise saber que tan bien estaba en cracking intente resolver algunos crackmes y keygenme de entradas de grupos, y realmente fueron terribles, pero algunos me fue bien y otros no, lo que me alegra en si no es el hecho de que te inviten, sino el hecho de saber que uno ya entiende algo mas
no se si sabrás ingles, pero te aseguro que cuando pasa el tiempo, es feo ver que herramientas hagan el trabajo que uno con muuucha dificultad aprendio, pero si es de ahorrar tiempo,si que lo hacen

asi que animo en todo y espero que en este empezar, no te sea muy dificil
sigue como bien decia revisando el mediafire.com/apuromafo en la carpeta de ing inversa, suelen haber muchas cosas aun...

es mas facil hacer eso con ollydbg2, animo!

no existe receta perfecta, casi todo va en el tema de sistema operativo en veces,
asi que de a poco a poco, ir aprendiendo , es mas , aveces cuando aprendes a crear hasta un mini PE, vas de a poco comprimiendo y comparando
(nspack, asprotect, y otras)

para mi upolyx, era una opcion que creo como plugin de PEID, originalmente para hacer un poco mas dificil el unpack de upx, pero, a diferencia de lo que se cree, no solo se podia usar en upx, sino ademas en upack, y asi en otros packers, osea si algunos ya eran dificiles, mas encima que le quitara la signatura (decir que era upx y otras era algo original, )
por ende que ocurria, lo ideal era ir viendo y analizando el entrypoing, esperar la desencripcion y encontrar el EP real, realmente de primera es muy complejo porque uno no sabe leer, pero con el tiempo despues es cosa de F7, bp en access dword, o bien luego en scripting es STI;sto, RTR...y asi  inclusive con condicinales cuando cierto registro es igual a algo...si te sale algun dificil de desempacar, y no le pillas el oep, no dudes de mandarme un PM ^^

saludos Cordiales
Apuromafo

Posdata 2) he leido por internet (no me acuerdo donde busco tanto......) que Shaddy tiene un tutorial para prenewbies, lo estoy buscando como loco y no lo encuentro ( ya sabeis que no se buscar ) pero si alguien me dice donde puedo encontrarlo seria fantastico, estoy seguro que con el puedo aprender muchisimo del mismo modo que con todos vosotros.

con respecto a esto, si existen, pero te sale mas facil buscarlo como el nombre en el buscador, asi
vas a
http://www.ricardonarvaja.info/WEB/buscador.php
con "shaddy"
tendras a lo menos esto para newbies:
http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1009-dUP2.Diablo%27s.Universal.Patcher.v2.17.By.ShaDDy.rar

http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/874-Desempaquetando%20un%20UPX%20para%20RE-Newbies%20por%20Shaddy.zip

http://www.ricardonarvaja.info/WEB/OTROS/EXPLOIT/SOBRE%20PROGRAMAS/TINY%20IDENT/CONCURSO%208%20-%20NIVEL%203%20-%20By%20Absolom1%20%26%20Shaddy%20%5BAbsshA%5D.rar

entre otros, tambien puedes buscar otros nombres
http://www.ricardonarvaja.info/WEB/CONCURSOS%20VIEJOS/CONCURSOS%202008/CONCURSO%201/NIVEL%203/Nivel%203%20%28DotFix%29%20-%20AbsshA.rar


realmente hay muchas historias pero anda leyendo de a poco
exito y saludos

digamos en forma simple el loader lo que hace es

busca una ventana:
0040211C  |.  898D C8FEFFFF MOV DWORD PTR SS:[EBP-138],ECX
00402122  |.  6A 00         PUSH 0                                   ; /Title = NULL
00402124  |.  68 B4C14000   PUSH 40C1B4                              ; |Class = "Carom3D"
00402129  |.  FF15 4CC14000 CALL NEAR DWORD PTR DS:[40C14C]          ; \FindWindowA
0040212F  |.  8945 FC       MOV DWORD PTR SS:[EBP-4],EAX

de ahi deberias sacar mas informacion dentro de lo que hace, emm recurso digamos que no,lo que digo al revez
aprende a usar el depurador, a modo que puedas no-prescindir de este tipo de herramientas que hackean o cambian el valor en runtime,

lo de testear, no lo he hecho porque no tengo ni idea de tu juego, pero lo que si puedo decir, es que si expira la aplicacion unpacked, es porque la expiración no proviene desde la aplicación, sino mas bien desde el juego en si, eso quiero decir...

saludos Apuromafo