Mensajes

:/ falso título

el ricardo narvaja este para ser una eminencia tan grande como comenta la peña no sale ni en la wikipedia 

Buen punto, eso es verdad debería aparecer

Hola a todos, bueno les comento tengo problemas con el antidump en el capítulo piden hacer un script que aparece en el capítulo 52 explicado.

pero mi problema recae en que quiero reparar el antidump de manera manual para luego hacer mi propio script, ricardo narvaja comenta:

Vemos que es un call a una api en este caso GetStartupInfoA y que al retornar, ya que es un
comando de 6 bytes lo hace en 4272db, y en el que esta protegido con asprotect tambien debe
retornar a la misma direccion lo que ocurre es que fue reemplazado por un comando de 5 bytes
siendo el 6 basura, asi que si ponemos un BP en la direccion de retorno del call en el empacado con
asprotect siempre debe ser un byte mas que el que indica la siguiente linea que se ve, en este caso la
siguiente linea es
004272D5 E8 268D5801 CALL 019B0000
004272DA D9F6 FDECSTP
pues el BP para que pare al retornar de la api, debe ser BP 4272db y alli parara al retornar, es muy
importante usar BPMs aquí o sea si yo quisiera resolver esto, pensaria que para tracear y no
volverme viejo ya que es una rutina larguisima, en este caso en algun momento debe acceder a los
bytes de la api, aunque sea como en este caso para leerlos para copiarlos a otro sitio, asi que se que
en este caso a la api GetStartupInfoA le pongo un BPM ON ACCESS en las primeras lineas de la
api, con eso descubrire en mi maquina donde lee la api correcta, luego debo hallar el momento que
cambia este CALL 019B0000 ya que luego de leer los bytes de la api los copia a otro lugar para
ejecutarlos, asi que eso a mi no me interesa, solo cuando cambia el CALL 19b0000 por el call a ese
nuevo lugar, eso tambien puede usarse un BPM ON WRITE y asi obtengo el lugar donde quiere
modificar el call, con lo cual yo puedo alli accionar el script para que guarde lo que yo quiero para
reparar el call y reemplazarlo por los bytes correctos y no lo que quiere guardar el jeje, esa seria la
idea a ver quien la hace mejor.
Tendran que luchar y pensar que debe funcionar en cualquier maquina, asi que adelante y a trabajar
espero que alguien lo resuelva tienen hasta el 17 de agosto de 2006 como fecha limite.
Ademas de la mencion y el uso del script del ganador, se mencionaran los nombres de todos los que
enviaron scripts que funcionan aunque no hayan ganado, como premio consuelo jeje.
Suerte y good work
Ricardo Narvaja
02/08/06

De partida no sé que trabajar creo que el original no el dumpeado. si alguien puediera resolver esto de manera manual, muchas gracias

karmany es autor tambien de esa tool xD


es bueno aveces recordar post antiguos, pero igual es importante, que uno puede leer las string por wdasm,IDA y mas editores hexadecimales 

saludos Apuromafo

Por eso puse eso, por que se regalo publicidad xD

OllyTest=231,152,638,448,1
CPU=-1,-5,514,366,3
CPU subwindows=326,500,320,500,300,767,278,620
Memory map=22,29,390,182,1
Log data=44,58,378,227,1
Script Execution=110,145,630,182,1
References=44,58,618,137,1
Breakpoints=110,145,498,182,1
Call stack=0,0,516,182,1
Threads=22,29,492,137,1
Run trace=88,116,432,182,1
SEH chain=83,110,271,182,1
Executable modules=66,87,636,182,1

Como me registro?

Y ese programa también me gusta (Add PE bytes) jaja. Muy bueno....

¬¬

y esa fecha no está bien? 2014?

Hija mía ese/esa sabe hasta de qué color te pones las bragas CADA DÍA.

+1

hace un mes que te espían

[es la parte de abajo del ollydump]

No se si se entiende pero es la parte de abajo del ollydump
es decir aparece arriba dejándome ver solo la parte de abajo

Saludos