Mensajes

Mi problema es que me aparece otro ESP cuando y al intentar dar los HB en los 2 primeros bytes no me manda al popad ,me imagino xq son 00

aca dejo la foto ...


Ayudenme porfavor

Hola, puedes subir el archivo para que veamos que se puede hacer, Saludos

Disculpa mi intromisión pero para que quieres reempacarlo en UPX?

Saludos

Estoy ocupado en este momento pero probaré con tibia y el mana jeje


Saludos

Si no tienes material nuevo puedes perfectamente resubirlo los link activos valen más que material exclusivo con link muertos, creo que la mejor forma y de manera legal es subir material en diversos servidores Rapid,Mega,media,4share entre otros.

Saludos

o mucho más simple dentro de una manera hipotética cuando realiza la petición del video a través de un php este lo realiza con una cuenta premium de magaupload aunque por seguridad sería más convenientemente bajarla y luego reproducirla desde el servidor(la cuenta premium permite ver sin límite por megavideo y a la ves bajar paralelamente y de forma ilimitada archivos del servidor) por lo que no abría límite tiempo (70 minutos), este método es parecido a rapidlech que es una herramienta que puedes instalarla en tu página web, esta permite que los usuarios bajen premium
el mecanismo consiste de una manera similar la página web con una cuenta premium descarga el archivo y luego tú lo bajas desde otro servidor (el de la web) pero sin límites de descargas paralelas y límite de descarga.

Saludos

solo la cortas y listo, busca un molde e imprímelo

[@Enko_]

@Enko_

Claro que sé lo que es un puntero, ese no es el problema, en serio.

Mira:



Supongamos que en otra maquina, abro el proceso y leo el offset 4146D2, me dá "0". Por que, supongo, el rango de valores no es el mismo, ¿por qué?, no sé, memoria disponible, OS, 86 o 64, ¿qué sé yo?, pero no es el mismo...

Saludos y gracias!

Cito la info de mi script:

Fórmula:
     RVA: Valor relativo en memoria (Relative Value Address)                                 
     VA: Valor absoluto en memoria (Value Absolute)                                                               
     RAW: Dirección en el disco

     -OllyDBG Nos muestra por defecto direciones de tipo VA
     VA(Value Absolute)=ImageBase+RVA     

     Ejemplo: 40101D=400000(ImageBase)+101D(RVA)

     -Si queremos saber el raw de un address ubicado en la cabezera PE (PE header)
     se debe restar address-ImageBase=RVA=RAW     

     Ejemplo: 400056(VA)-400000(ImageBase)=56h(RAW)   

     -Si queremos saber el raw de un address ubicado en una sección     
     se debe hacer lo siguiente:

     Obtener el RVA del addres:
     Address-ImageBase=RVA

     luego a RVA restarle los siguientes valores:     
     RVA-(VirtualAddress-PointerToRawData)=RAW     

     *VirtualAddress y PointerToRawData varían en cada sección

No todas las cabeceras PE son iguales,el address que comentas es un VA que es lo muestra OllyDBG con el script colocas esa address y te dará el RAW teniendo el RAW que es la dirección del ejecutable en el disco duro abres un editor hexadecimal verás lo mismo, puedes corroborar nopeando el OP-Code del address (click derecho fill with nop's) eso hará que en el address se escriban 90 hexadecimal si con un editor hex pones el RAW deberías ver 90 obviamente si guardaste los cambios

Podrías enviarnos el ejecutable para que te saquemos de las dudas

Saludos

Muy bueno UNDER, va al blog.

Saludos!

No cumplí el objetivo pero algo es algo

Creo que debistes ser más especifico.

Haber vallamos por partes.

Estos son los datos que yo saqué


Target: C:\Documents and Settings\Nox\Escritorio\DFStd.exe
OEP: 00001536   IATRVA: 00190164   IATSize: 00000EB4

Hay bastante basura en la IAT pero no es problema luego el mensaje de ERROR es del mismo deepfrezer tiene algún tipo de comprobación, más me parece que comprueba si a sido o no desempacado. Y el mensaje sale en un MSGBOX

Así que pones un BP a MessageBoxA, y puedes seguir tracendo desde ahí, mas arriba hay un salto que te envía a ese error.

0040A62A     /0F84 B8000000 JE dump_.0040A6E8

Este evita que salga el mensaje de error, cambias el flag para que no salte, y sigues traceando te daras cuenta que ocurre una excepción.

Ahí me quedé estoy viendo que valor debe ir ahí, para que no ocurra una excepción.

aquí ocurre la excepción.

00406131  |.  8B10          MOV EDX, DWORD PTR DS:[EAX]

Siendo que EAX = 00000000

!


EDITO:


Mirando el proggie original, JAMAS llega a ese salto es más nisiqueira entra a esa rutina.

Y si vez todas las referencias que se hacen hacía esa rutina, son muchas, así que creo que la opción sería poner un BP a CreateFileA y se abre a si mismo, ahí estoy.

Cualquier cosa que vea comento.


Despues de almorzar, que me llaman!  

Pd: El Unpack! está bien (almenos el mío ), lo que falta es hacer que corra el proggie ya que tiene una comprobación que está jodiendo !


Nox.

disculpa no comenté que el error era del programa y calzamos con los mismos datos pero de todas formas generan el error sonará extraño pero que bueno que no sea el único que tenga el mismo error

Saludos

Te fijastes en el HEAD?

El error ese te sale ni bien abres el proggie con el Olly?

Nox.

Detenido en el OEP doy F9 y me muestra el error

Saludos