Mensajes

[antidump]

Hola a todos, estoy intentando desempaquetar un programa, este tiene antidump,tengo la siguiente duda.

si voy a la Memoria del programa dumpeado veo lo siguiente:

Memory map
Address    Size       Owner      Section    Contains      Type   Access    Initial   Mapped as
00010000   00001000                                       Priv   RW        RW
00020000   00001000                                       Priv   RW        RW
0012C000   00001000                                       Priv   RW  Guar  RW
0012D000   00003000                         stack of mai  Priv   RW  Guar  RW
00130000   00003000                                       Map    R         R
00140000   00001000                                       Priv   RWE       RWE
00150000   00006000                                       Priv   RW        RW
00250000   00006000                                       Priv   RW        RW
00260000   00003000                                       Map    RW        RW
00270000   00016000                                       Map    R         R         \Device\HarddiskVolume1\WINDOWS\system32\unicode.nls
00290000   00041000                                       Map    R         R         \Device\HarddiskVolume1\WINDOWS\system32\locale.nls
002E0000   00041000                                       Map    R         R         \Device\HarddiskVolume1\WINDOWS\system32\sortkey.nls
00330000   00006000                                       Map    R         R         \Device\HarddiskVolume1\WINDOWS\system32\sorttbls.nls
00340000   00041000                                       Map    R         R
00390000   00001000                                       Priv   RW        RW
003A0000   00001000                                       Priv   RW        RW
003B0000   00004000                                       Priv   RW        RW

si veo el programa empaquetado veo lo siguiente:

Memory map
Address    Size       Owner      Section    Contains      Type   Access    Initial   Mapped as
00010000   00001000                                       Priv   RW        RW
00020000   00001000                                       Priv   RW        RW
0012C000   00001000                                       Priv   RW  Guar  RW
0012D000   00003000                         stack of mai  Priv   RW  Guar  RW
00130000   00003000                                       Map    R         R
00140000   00001000                                       Priv   RWE       RWE
00150000   0000A000                                       Priv   RW        RW
00250000   00006000                                       Priv   RW        RW
00260000   00003000                                       Map    RW        RW
00270000   00016000                                       Map    R         R         \Device\HarddiskVolume1\WINDOWS\system32\unicode.nls
00290000   00041000                                       Map    R         R         \Device\HarddiskVolume1\WINDOWS\system32\locale.nls
002E0000   00041000                                       Map    R         R         \Device\HarddiskVolume1\WINDOWS\system32\sortkey.nls
00330000   00006000                                       Map    R         R         \Device\HarddiskVolume1\WINDOWS\system32\sorttbls.nls
00340000   00041000                                       Map    R         R
00390000   00001000                                       Priv   RW        RW
003A0000   00001000                                       Priv   RW        RW
003B0000   00005000                                       Priv   RW        RW

el problema surge que el dumpeado intenta acceder al address: 00157E78 que lógicamente no está en el dumpeado, por lo que investigando debo liberar tal sección en la memoria con VirtualFree y luego con VirtualAlloc crearla nuevamente pero con el size correspondiente, luego de eso injertar lo que falta, el problema es que se cita lo siguiente:

en mi maquina la sección del
antidump empieza en 150000 y alli el sistema creo un heap y tiene valores
necesarios para correr el programa si solo borramos y copiamos lo del
antidump no correra

The VirtualFree function releases or decommits (or both) a region of pages within the virtual address space of the calling process.

BOOL VirtualFree(

    LPVOID lpAddress,   // address of region of committed pages 
    DWORD dwSize,   // size of region
    DWORD dwFreeType    // type of free operation
   );

The VirtualAlloc function reserves or commits a region of pages in the virtual address space of the calling process. Memory allocated by this function is automatically initialized to zero.

LPVOID VirtualAlloc(

    LPVOID lpAddress,   // address of region to reserve or commit 
    DWORD dwSize,   // size of region
    DWORD flAllocationType,   // type of allocation
    DWORD flProtect    // type of access protection
   );   

hago el siguiente injerto(aquí mi duda):

push 4000
push ???????
push 150000
call VirtualFree
nop
push 4
push 2000
push ??????
push 150000
call VirtualAlloc
nop
push 4
push 1000
push ??????
push 150000
call VirtualAlloc

(el injerto lo tomé del tutorial de ricardo narvaja)
el problema es el size no sé cuanto colocar, debido que no sé que es un heap y cuanto espacio debo colocar y por qué ese espacio, otra cosa es por que se hace dos llamados a VirtualAlloc con diferencia en el parámetro type of access protection

Si pudieran aclararme esas dudas de manera explicativa, se los agradecería demasiado,Saludos

[computador (PC)]

tomas el la dll le haces click derecho y presionas la opción copiar, una vez realizado eso te dirijes a inicio(costado izquierdo de la parte inferior):



en xp es en el mismo lugar

luego computador (PC) una vez ahí verás un disco que dirá disco duro por lo general C:\

ahora entra en el y encontrarás una carpeta que se llama archivos de programa

entras a ella y encontrarás una carpeta que se llama adobe entras de nuevo en ella y encontrarás otra carpeta que se llama adobe photoshop, una vez dentro de ella haces click en un lugar vacio en donde no haya archivos y presionas click derecho y luego pegar (si a funcionado bien debería preguntarte si deseas reemprazar el archivo le das a sí, recuerda tener permisos de administrador para que puedas sustituir la dll)


Saludos

por qué no 3?

[No revivas post tan antiguo]

No revivas post tan antiguo


Eso se debe a que te haz bajado la versión para Linux, debes conseguirte la versión para windows es decir .exe (si es que usas xp,vista,7) o .com 9X windows 95 98, etc

una vez hecho eso debes dirigirte desde la consola, utiliza el comando

cd para avanzar y cd.. para retroceder

Saludos

administrar, regularizar de manera más eficiente la entrega de patentes.

[Salu2.]

Pues más de la que te piensas...gente normal y empresas.....


Salu2.

+1

No entendí tu answer no podrías avoid mesclar IDS(idiomas) y evitar las abreviaciones

[JDownloader]

1- Si interrumpes la descarga manualmente (Pausa) se reincorpora la descarga por donde iba descargado, no vuelve a empezar.
Pero si la detienes totalmente, es decir, la eliminas, los datos son temporales creo, entonces esos datos se pierden, tienes un x% de la pelicula o juego o lo que sea, pero para que funcione se necesita el 100% de los datos, entonces si la eliminas antes de que acabe, esos datos se quedan en tu ordenador (en forma de archivo de descarga), pero al no estar completos no funcionan. Esta perdida de datos, lo hace el mismo programa, ya que al no tener todos los datos, no le sirve de nada."me parece que es asi."
2- En ese caso, el programa busca en el destino donde van a ir los datos descargados, y los "sube" a la red para que otros usuarios puedan cojerlos y a la vez ellos los suben para que tu puedas cogerlos etc... pero al notar que cierta parte de los datos ya estan guardados en su destino, pues empieza directamente por la parte que nos falta, debido a que busca los datos, si no los encuentra, empieza de nuevo, que los encuentra en su destino, continua por donde se quedo la ultima vez si no ha habido ningun problema con la descarga. (nose si esto responde a tu pregunta, pero no la entiendo muy bien.. creo que es eso)
3- En ese caso, es mas facil, el video se carga "buffer" y se queda guardado temporalmente en los archivos de internet de tu ordenador, estos datos, una vez cerrado la pagina o el visualizador, se pierden automaticamente, por esa razon, si dejamos cargar un video (se va guardando en archivos temporales) y luego pinchamos en "trabajar sin conexion" la parte ya cargada del video esta guardada, y por eso lo podemos visualizar.
"Me parece que funcionan asi las cosas, si me equivoco que me corrijan xD, pero creo que es asi"
Saludos

algunas cosas están erróneas, pero en sí las idea es correcta

1 y 2-JDownloader es un potente gestor de descargas, este se basa en trabajar de manera autónoma los link que recibe, es decir si introducimos un link de megaupload, este en modo texto accede al link y verifica su existencia (lo más probable es que busque la string de "enlace no disponible" si existe tal referencia el link esta caido y se muestra con un símbolo rojo si no un ticket, no recuerdo bien los iconos de Jdownloader, una vez que supo si está disponible o no, comienza a descargar (debe esperar una cierta cantidad de tiempo, 30 seg aprox y una vez que esperó busca en el html el nombre del botón(tag) descargar e inicia la descarga si no existe tal botón refresca el html y espera)
creo que así debe ser el funcionamiento, no lo he reverseado pero podrías mirar como trabaja con que apis y que hace cada vez que insertas un link (No todo es cracking  ), en cuanto a que las descargas se pausen y no se puedan reanudar, no es culpa del gestor si no del servidor en donde se están descargando, ya que al NO ser PREMIUM una de las desventajas es que no se puede continuar una descarga una vez detenida (si analizas minuciosamente los gestores de descargas tienen la opción de pausar, pero esta lo que hace en realidad es bajar la velocidad de descarga a 1kb para no perder la conexión entre cliente y servidor de descarga), en resumen un gestor de descargas automatiza tareas de descargas es como un script, macro o mini bot que no hace nada que no puedas hacer tú mismo, la diferencia que optimiza el tiempo y a la vez eficiente

3-lo que comentó dennis094 está correcto cuando cargas videos en youtube (no tan solo eso, juegos flash,páginas web entre otras) el navegador almacena a través del cache en archivos temporales ímagenes, cookies,css,que posterior a su bajada permiten una navegación más rápida, evitando tener que recargar tan lento páginas pesadas, o videos en youtube.

"descargar videos de youtbe" gran cantidad de programas de este tipos utilizan los mismos archivos temporales del navegador dentro de sus funcionamientos presumiendo ser herramientas de muy alta calidad y tecnología, pidiendo licencias de alto costo, tienes herramientas gratuitas para ver el contenido de los archivos temporales, nirsoft trabaja bajo los navegadores más comunes

Saludos

Es justo lo que iba hacer... en fin... haber como lo hago yop =/.

Nox.

Esperamos con ansias tu script

Saludos

Excelente