Mensajes

Recordar que IAT es Import Addres Table que es una tabla encargada de contener las direcciones de las APIS para darnos de alguna u otra manera "portabilidad" en nuestras aplicaciones, esto funciona a través de IID (Image import descriptor) localizada en la tabla IT Import tables, que se inicializa antes de llegar al Entry point. Esta tabla contiene el nombre de las APIS y sus librerías y para determinar las direcciones que serán escribidas en la IAT se utiliza GetProcAddress

Para ver la IT debemos tener un visualizador de la cabecera PE como lo es por ejemplo el depurador OllyDBG (en la ventana DUMP, clic derecho->especial->header)
nos localizamos en en el address de la cabezera (por lo general 400000, si no sabemos nos vamos a memory, ahí OllyDBG nos mostrará desde que dirección comienza la cabecera) buscamos el address de IT en mi caso:

00400160    14420000    DD 00004214          ;  Import Table address = 4214

le sumamos la ImageBase que para mi es 400000 y nos da 404214 si nos dirigimos ahí encontraremos las IID que son 6 DWORD en donde las más importantes son la el penúltimo DWORD(5) y el último DWORD (6)

en mi caso el quinto es: 00404224  2C 40 00 00                                      ,@..
por lo que si le sumo la ImagenBase y nos dirigimos ahí (40402C), obtendremos la dirección ya resuelta (esto se debe a que detenido en el EP ya se han resuelto la dirección) pero si hacemos clic derecho y colocamos view executable file, veremos los datos que tiene en el disco rígido (sin inicializar el ejecutable) en mi caso es:

0000402C  08 44 00 00                                      D..

por lo que si le sumamos nuevamente la ImageBase nos dará 404408 y esto nos lleva a la string MessageBoxA por lo que el 5 valor (DWORD) de la IID ubicada en la IT corresponde a un puntero a la string de la API MessageBoxA y este obtiene su valor a través de GetProcAddress, una vez obtenida lo sobre escribe, por eso el por qué de que cuando ya estamos detenidos en el EP la IID está ya completa.

en cuanto al quinto valor apunta indirectamente a la string con el nombre de la .dll de la API a la cual se quiere obtener la dirección.

En resumen tenemos

IT esta se subdivide en IID que son conjuntos de 6 DWORD en donde el último y penúltimo subconjunto son importantes:
5-> apunta a la string de la API
6-> apunta a la librería (.dll)

esta se encarga de obtener las direcciones de las APIS de las máquinas y las sobre escribe en la IAT esta es en donde el programa por lo general solicita las direcciones de las APIS, digo general por que existe la posibilidad de que el programa sea alterado y utilice otras direcciones o que la IAT sea un intermediario (packers), pero en resumen la idea es la misma.

Espero que se te haya aclarado un poco todo, saludos

Hola a todos, bueno estoy buscando la forma de poder eliminar las palabras repetidas de un .txt

buscando por Internet encontré el siguiente código que funciona casi a la perfección:

Código (bash) [Seleccionar] Expandir

echo off

set /a x=1

for /f "tokens=1 delims=" %%a in (token4.txt) do (
rem echo %%a
echo %%a > %%a.test
)

for /f "tokens=* delims= " %%a in ('dir /B "*.test"') do (
echo %%a>>semifinish.txt
)

echo  > finish.txt

for /f "tokens=1,2 delims=." %%a in (semifinish.txt) do (

echo %%a >>finish.txt
rem echo %%b

rem echo %%p

)

for /f "tokens=* delims= " %%a in ('dir /B "*.test"') do (
del "%%a"
)

del semifinish.txt

Si en token4.txt tiene:

Código [Seleccionar] Expandir

1
1
2
3
4
4
5
6

me queda un finish.txt de esta manera:

Código [Seleccionar] Expandir

1
2
3
4
5
6

Pero me gustaría hacerle una modificación para que borrara los dos números que se repitieron es decir que usando el mismo ejemplo anterior me devolviera:

Código [Seleccionar] Expandir

2
3
5
6


En palabras simples borrar ambas palabras o números repetidos.

Espero su ayuda, muchas gracias

ya que tienes acceso a la base de datos access .mdb por que no la crackeas?
así buscas la columna que contenga los datos de los privilegios de cada usuario, para ello deberías basarte en un usuario que sepas que tiene privilegios que antes tu tenías, en cuanto a crackear la MDB:

http://www.nirsoft.net/utils/accesspv.html
(Es gratuito :/)

Saludos

Podría ser un mismo packer? este modifica el código del ejecutable (descifra para que sea entendible para el procesador) o una vez ejecutado modifique una que otra estructura del código o de otra manera un actualizador como comenta _Enko

Saludos

De manera sencilla conectándose al ROUTER, de otra manera sería utilizar la suite aircrack-ng y utilizar airodump-ng

En fin para ti creo que la primera basta y sobra aunque en ambas muestran información importante como MAC de los computadores que se conecta, IP interna que se les ha asignado, hora en la que se ha inicializado o establecido una conexión.

En cuanto a como acceder, por lo general 192.168.0.1 o 192.168.1.1 en caso que no funcione nos vamos a CMD -> ipconfig y buscamos dirección IPv4 (W7)

Saludos

Deberías conseguir una copia o imagen del Windows seven starter que podría permitirte restaurarlo, en cuanto a legalidad debería venir incluido el CD de W7S y en cuanto al serial debería estar debajo del ne(o)tbook

Saludos

Soy y siempre seré un aprendiz que me inicio cada día en algo más difícil para mi, en cuanto a mi inicio, solo leyendo y buscando el porqué de las cosas, obviamente también pasando de lo teórico a lo práctico

Saludos

-Es el subforo incorrecto
-No se puede escribir con mayúscula
-¿Cuales son tus progresos?
-Aparte de tu IDE vacía esperando para pegar un código, ¿que piensas hacer?

En cuanto a los diagramas de flujo tengo las siguientes dudas:

1- las call's se deben colocar
2- ¿deben estar todas las instrucciones del código de fuente?


Se que un diagrama de flujo se utiliza por lo general en programación (por lo general en lenguajes de alto nivel), no en ASM específicamente pero me gustaría saber como lo realizan aquellos que los diseñan bajo ASM

Saludos

Una buena idea sería hacer una función que se encargue de cifrar una vez utilizada las instrucciones, lo único que deberías hacer entonces sería intercalar tal función (obviamente una vez ya creada).

en resumen sería descifrar y cifrar, por lo que podría ser muy útil en cuanto a instrucciones basura deberías tener espacio es algo complicado si no sabes la localización exacta de las instrucciones que son detectadas por el AV

pero podrías colocar bucles como
:L1
dec ecx
nop
nop
cmp ecx,0
jne L1

también para que no tengas problemas en cuanto a desbordamiento o pérdidas de variables, puedes usar pushad antes de cada código basura y popad después de cada código basura...

Suerte y saludos

PD: sería genial usar el arte de ASM y reversing en otras cosas pero en fin cada uno elige su destino