Mensajes

si comprendo el tuyo por eso comprende el mio

Nadie ha creado retos?, creen uno para que mejoremos lo script, para crearlos es muy simple, ir al tema:
http://foro.elhacker.net/ingenieria_inversa/warscriptzoneintroduccion_a_scriptss-t338044.0.html

y crearlo con el esquema que aparece ahí, muchas gracias

[[]]

solucionado me faltó los []

Saludos

No sé si me expliqué bien, pero cuando hago el mov este modifica la viariable pero no el ejecutable, Saludos

[00401029]

Hola a todos, me surge una duda nuevamente y es como puedo alterar un valor de un ejecutable, me explico

en el dump tengo lo siguiente:
00401029  0C FA 46 00

como puedo cambiar lo que está dentro de 00401029 por FF FF FF FF?

Muchas gracias
                                               .

Koreano envidioso?, si él lo programó, y lo protegió, quien eres para calificarlo de esa manera, hablando despectivamente por una creación que no te pertenece.
Este... hay muchos tutos como para aprender reversing, empieza con eso, y luego miras los packers.

Aquí encontraras todo para iniciarte.
ricardonarvaja.info

Nox.

+1

[Salu2.]

Haz lo que te comentan, cambia la contraseña y pon filtrado por MAC.....



Salu2.

+1

Yo me quedé dormido de rojo abrazando a mi netbook xD

[hadwarebreakpoint]

Tinkipinki el script para UPX ocupa muy pocas lineas. Este script hace mas que desempacar UPX solamente.... 

eso es verdad de hecho para el OEP del UPX fue lo que menos me demoré, jeje

Tinkipinki:aun espero la correción del script, ya te di las pistas por privado

Código [Seleccionar] Expandir

PUSHADPOPAD:
VAR AUX2 //declara una variable
VAR AUX //declara una variable
VAR KIUSER //declara una variable
VAR ZWCONT //declara una variable
VAR entrypoint //declara una variable
GPA "KiUserExceptionDispatcher", "ntdll.dll" //devuelve el address de una api
MOV KIUSER, $RESULT //mueve el resultado de la operacion anterior a KIUSER
BP KIUSER //coloca un bp en la address que apunta KIUSER
GPA "ZwContinue", "ntdll.dll" //devuelve el address de una api
MOV ZWCONT, $RESULT // mueve el resultado de la operación anterior a ZWCONT
BP ZWCONT //coloca un bp en la address que apunta ZWCONT
MOV entrypoint,[eip],1 //mueve el primer byte de eip a la variable entrypoint
CMP entrypoint,60 //compara entrypoint con 60 (equivale a un pushad)
JE PASO1 //si el primer opcode es pushad salta
TICND "byte [eip]==60" //tracea hasta encontrar un pushad
PASO1:
STI //Step into (F7), para ejecutar el pushad
MOV AUX,esp //mueve el valor de esp dentro de la variable AUX
INICIO:
BPHWS AUX, "r" //coloca un hadware breakpoint on access en AUX
TRABAJO:
EOB COMPROBAR // si ocurre una excepción o un bp se dirije a COMPROBAR
RUN //se ejecuta ollydbg (f9)
COMPROBAR:
CMP eip,KIUSER //compara eip con KIUSER
JE QUITAR   //si estamos en KiUserExceptionDispatcher irá a quitar BPHWS
CMP eip,ZWCONT //compara eip con ZWCONT
JE RESTAURAR  //si estamos en ZwContinue irá a restaurar
CMP eip,AUX2  //compara eip con el retorno de una excepción
JE RESTAURAR2 //si estamos en el retorno irá a restaurar2
JMP SALIR     //terminado todo se dirige a salir
QUITAR:
BPHWC         //quita el BPHWS
JMP TRABAJO  //salta a trabajo
RESTAURAR:
MOV AUX2,[ESP+4]  //introduce el valor de CONTEXT a AUX2
ADD AUX2,0b8 //le suma 0b8 para saber a que lugar retomará una vez pasada la excepción
BP AUX2      //sabiendo el retorno coloca un BP en ella     
JMP TRABAJO  //salta a trabajo
RESTAURAR2:
BC AUX2     //elimina el BP del retorno de la excepción
JMP INICIO   //salta a INICIO para volver a colocar el BPHWS
SALIR:
BPHWC //limpia todos los BPHWS
BC    //limpia todos los bp
MSGYN "Aproximación terminada,desea buscar OPcodes?"
CMP 1,$RESULT //compara resultado con 1(YES)
JZ BUSCAR_PUSH_EBP //si la comparación anterior se cumple salta al laber BUSCAR_PUSH_EBP
JMP START  //retorna al menú principal
Este es de hecho un poco más completo ya que no tan solo coloca un hadwarebreakpoint, si no que mientras se ejecuta el programa, este los quita en las excepciones,volviéndose a colocar en el retorno de ellas para así evitar de alguna u otra forma la detección del hadware breakpoint
además dándo la posibilidad que una vez ejecutado el popad,este tracea hasta encontrar uno de los op codes más usados al inicio del programa

Mira te vas a la ventana plugins, luego ODBGscript->ScriptWindows
desde ahí puedes cargar el script, click derecho load script una vez cargado para ir viendo como trabaja presionas en una linea cualquiera F2, lo que le pondrá un breakpoint al script además desde esta ventana podrás ver los valores que va tomando cada variable,eip,entre otras cosas que pueden ser muy util para corregir errores que posean tu script,para arrancar el script una vez puesto el breakpoint se presiona la tecla espacio

Saludos