Mensajes

Ummm curioso ese metodo antidebug , ¿Saes programar en asm y no en C? Entonces empezar para ti en C será como comerte una tarta , yo entiendo el ASM mas o menos pues he hecho hasta el capitulo treinta y pico del curso de Ricardo Narvaja , pero no soy capaz de programar con el , una pena

¡Un saludo a todos!

http://foro.elhacker.net/asm/lenguaje_ensamblador_para_computadoras_basadas_en_intelkip_r_irvine_espanol-t364651.0.html

Si te lees esto completo, podrás programar ASM, saludos y suerte.

Buenas .:UND3R:.,
a mi ese código me funciona perfectamente. ¿No estarás intentando probarlo en un OlliDbg parcheado para que no reviente?

De hecho, parece que funciona a partir de 2 "%s":

Código (asm) [Seleccionar] Expandir

.386
.model flat, stdcall
option casemap :none
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib
.data
output_debug BYTE 2 DUP("%s"),0
.code
start:
INVOKE OutputDebugString,ADDR output_debug
INVOKE MessageBox,0,ADDR output_debug,ADDR output_debug,0
INVOKE ExitProcess,0
end startSi lo ejecuto directamente o con un Olly parcheado me muestra la MessageBox.

Pero con el Olly original en Windows XP se cierra directamente y en Windows 7 x64 rompe con esto:


Saludos.

Muchísimas gracias por el código, al fin  y al cabo me arrojó me sucedió lo mismo (solo recibí una alerta), pese a que tenga todos los plugins desactivados, pero me quedo tranquilo con saber que te ha funcionado.

Justo estoy empezando hacer un compendio de todos los métodos antidebug en general que me encuentro al reversear, tal vez en un par de meses se pueda armar algo bueno

Saludos,
Nox.

Sería de gran ayuda, ya que estoy programando un sistema anti-cheat y necesito la máxima cantidad de trucos (un pack), si gustas puedo enviarte algunos que sé, claro que todos han sido conseguidos a través de Internet, pero si podría ser útil para una recopilación, si te animas sería excelente que hicieras pequeños ejecutables junto con su source para que sea mucho más entendible.

http://waleedassar.blogspot.com/2012/03/ollydbg-section-name-crash.html

saludos Apuromafo

Interesante referencia sobre el enfoque que se da, más allá que explotarlo es entender por qué falla, muchas gracias por la info.

En el OllyDbg 2.01 no crashea , igual es que ha usado ese , a mí con esto en C crashea perfectamente.Una pregunta de novato , ¿esto es o puede ser un método AntiDebug?

Código (c) [Seleccionar] Expandir

#include <windows.h>

int main(int argc, char **argv)
{
    char cadena []="%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s";
    OutputDebugStr(cadena);
}


Tal como dices, la finalidad es generar un error en el debugger de manera de aludir a cracker's curiosos, muchísimas gracias por el código en C, sé que me será de utilidad ya que de pronto comenzaré con C, creo que será un gran aliado junto con ASM.


Muchas gracias a todos por sus respuesta.

http://www.derkeiler.com/Mailing-Lists/Securiteam/2004-07/0063.html

Yo no se mucho de ensamblador, pero porque mejor no lo pruebas.

Despues nos dices si te sirvio.

pero no consigo

lo intenté pero solo recibí un mensaje, saludos.

utilizo MASM32 (su última versión) junto con el IDE RadASM, nunca tuve problemas con los INVOKES, solo con CreateThread, de todas maneras ya se ha solucionado, gracias por sus comentarios. Saludos

Hola a todos estoy intentando crashear OllyDbg (hoy vengo del lado de los buenos), pero no consigo, tengo el siguiente código:

Código (asm) [Seleccionar] Expandir

.data
output_debug BYTE 50h DUP("%s"),0
.code
INVOKE OutputDebugString,ADDR output_debug
INVOKE ExitProcess,0

A ver si me pueden indicar si es correcto lo que estoy haciendo, saludos y gracias

No hace falta poner ADDR ni offset

Código (asm) [Seleccionar] Expandir

invoke CreateThread,0,0,Funcion,0,0,0

saludos.

También lo intenté de esa forma pero no función, la solución fue llamarlo sin utilizar la directiva INVOKE, es decir:

Código (asm) [Seleccionar] Expandir

push 0
push 0
push 0
push OFFSET SEARCH_CHEAT
push 0
push 0
call CreateThread

Saludos y muchas gracias por su ayuda 

Hola a todos, estoy intentando hacer dos cosas:
1.- Cargar un ícono en la barra de tareas en la derecha (tray icon).
2.- Mostrar un globo junto con un mensaje (ballon notification).

Tengo el siguiente código:

Código (asm) [Seleccionar] Expandir


main PROC
        ....                                              ; calls
call START_TRAY_ICON
        ...                                               ; calls
main ENDP

START_TRAY_ICON PROC
mov struct_icon.cbSize,SIZEOF NOTIFYICONDATA ; Tamaño de la structura (SIZEOF)
mov eax,[hdl_proc_name]       ; manejador (handler) del proceso
mov struct_icon.hwnd,eax ; Manejador (Handle) de la ventana que recibirá la notificacion cuando ocurran eventos de ratón sobre el icono de la bandeja
mov struct_icon.uID,ID_ICON ; La constante que es usada como identificador del icono (sirve para chequear desde qué icono de bandeja proviene la notificación)
mov struct_icon.uFlags,NIF_TIP+NIF_ICON+NIF_INFO ; Especifica qué miembros son válidos
mov struct_icon.uCallbackMessage,WM_SHELLNOTIFY ; El mensaje común que Windows mandará a la ventana especificado por el miembro hwnd cuando ocurren eventos sobre el icono de bandeja
INVOKE LoadIcon,NULL,IDI_WINLOGO
mov struct_icon.hIcon,eax
INVOKE lstrcpy,ADDR struct_icon.szTip,ADDR app_name
INVOKE Shell_NotifyIcon,NIM_ADD,ADDR struct_icon


Push TIME_ICON ; duración del globo en milisegundos
push NIIF_INFO ; icono alerta
push OFFSET error1_title ; titulo
push OFFSET error1 ; mensaje

call TRAY_ICON
ret
START_TRAY_ICON ENDP


TRAY_ICON PROC
; aquí debería mostrar el mensaje
push ebp
mov ebp,esp
mov eax,[ebp+8h]
INVOKE lstrcpy,ADDR struct_icon.szInfo, eax
mov eax,[ebp+0ch]
INVOKE lstrcpy,ADDR struct_icon.szInfoTitle, eax
mov eax,[ebp+10h]
mov struct_icon.dwInfoFlags,eax
mov eax,[ebp+14h]
mov struct_icon.uTimeout,eax
INVOKE Shell_NotifyIcon,NIM_MODIFY,ADDR struct_icon
pop ebp
ret 10h

TRAY_ICON ENDP

Lo estoy haciendo en APP:Console MASM

a ver si me pueden guiar, saludos

Muy dudoso, de todas maneras, en un programa comercial, siendo cerrado, es dificil saber cual es el lenguaje en el que fue programado

No creo que sea tan difícil saber con qué lenguaje ha sido programado.

En cuanto a programas hechos puramente en ASM, lo dudo. Saludos

pues porque no declaraste el prototipo con PROTO

Saludos

Se ha declarado el prototipo.