Mensajes

[TODO!]

Bueno siendo yo, comenzaría con el F.A.Q (créeme que es la única forma para que te logres nivelar y entiendas conceptos y/o ideas).

Recuerda, en el F.A.Q está TODO!

Me tomé la molestia de crearlo por esa misma razón. A estudiar! 

Saludos

Código (asm) [Seleccionar] Expandir

INICIO:
 PUSHAD
 MOV EAX,ADDRESS SERIAL
 XOR ECX,ECX
A)MOV EBX,DWORD PTR DS:[EAX+ECX]
 CMP BL,5A
 JE B
 INC CX
 CMP CX,Nº CARACTERES
 JNZ A
 JMP C
B)MOV BL,30
 INC BH
 MOV DWORD PTR DS:[EAX+ECX],EBX
 NOP
 NOP
 JMP INTRODUCCIÓN DEL SERIAL DENTRO DEL PROGRAMA
C)XOR ECX,ECX
 MOV EBX,DWORD PTR DS:[EAX]
 INC BL
 MOV DWORD PTR DS:[EAX],EBX
 POPAD
 JMP INTRODUCCIÓN DEL SERIAL DENTRO DEL PROGRAMA

Código (asm) [Seleccionar] Expandir

   PUSHAD
   MOV ESI,ADDRESS SERIAL
   MOV ECX,Nº de caracteres
A) DEC ECX
   MOV AL,BYTE PTR DS:[ECX+ESI]
   CMP AL,5A (MAXIMO NUMERO)
   JNZ B
   MOV AL,30H (VALOR 0)
   MOV BYTE PTR DS:[ECX+ESI],AL
   JMP A
B) INC AL
   MOV BYTE PTR DS:[ECX+ESI],AL
   POPAD
   JMP INTRODUCIR SERIAL

Solo debes adaptarlo al programa adecuado (son dos alternativas).

¿Qué tanto la diferencia?, sé que dispone de mayores opciones, pero me molesta que los plugins de la versión 1.0 no sean compatibles con la 2.0, ¿que opinan ustedes?, ¿qué versión usan?

Saludos

Las ciencias de las ingeniería inversa, no tiene una sola solución única, si te basas en la forma de reparar una IAT de x programa, en x sistema operativo, este será funcional solo para tal programa y solo para tal x sistema operativo.

Me parece bien que ya sepas indagar en la IAT y que sepas que ImportReConstructor, es capas de ayudarte en lo que necesitas, pero:

¿Sabes que es IAT?
¿Sabes que significan estas siglas?
¿Sabes por qué lo usa el sistema?

La IAT = import address table

Tabla de direcciones de importación.

Debido a las constantes actualizaciones de los SO (aplicaciones, parches, librerías) por lo cual se debe seguir un estandar de la forma en que los programas que utilizan librerías externas deben acceder a ellas, para ello la existencia de la IAT.

Ya sabiendo de que tema estamos hablando logramos deducir, sin siquiera pedir ayuda de que cada IAT es distinta, sin importar el packer, ya que programa X utilizará ciertas librerías las cuales no serán lo mismo que programa Y.

Para localizar la IAT, se debe obtener una llamada a alguna librería (API), con ella se dirige uno hacia el salto, el cual nos lleva a la IAT, luego se procede a buscar el inicio, si utilizar OllyDbg, este muestra las direcciones de memoria en VA (Import pide el inicio de forma RVA, por lo cual deberás restar la Image base), y el final es cuando no se encuentra ninguna referencia ha alguna llamada.

Destacar que la IAT separa las APIs dependiendo de las librerías (separación de 4 bytes o un Word)

También debes saber como el sistema sobre-escribe la IAT, antes del Entry Point.
El sistema localiza la dirección de la IT (mport table o tabla de importaciones), una vez localizada de comienza a leer el contenido de los IID (image import descriptor), un conjunto de cinco valores dword. Se destacan el cuarto y quinto parámetro:
- cuarto parámetro nombre de la dll.
- quinto parámetro, dirección generalmente dentro de la IAT, este campo (RVA) posee el nombre de la API, la cual obtiene su dirección a través de la API
GetProcAddress.

Si buscas en la página que comenta tincopasan, encontrarás el tutorial de introducción al cracking con ollydbg o si gustas buscar información específica del packer.

Me explicaré de forma metafórica:
- El problema no es estar recuperando las piezas robadas dentro del garage, si no más bien preocuparse de la seguridad que tiene el garage, ya que si esta está vulnerada, es absurdo estar constantemente restaurando, recuperando piezas que podrán ser robadas de la misma forma que lo han estado haciendo.

- Análisis exhaustivo sobre la seguridad.
- Cambiar todas las claves y datos personales.

Extensiones:
Forma en que el sistema operativo logra saber con qué programa ejecutar un determinado archivo.
Ejemplo:
.txt
.bat
.wma
.mp3

Texto plano:
Texto legible y posible de entender por el lenguaje humano.

Terminales o Shell:
Las terminales o Shell son interpretes de comandos y/o archivos por lotes.

(pantalla generalmente negra, en donde recibe comandos).

Los archivos por lotes son conjuntos de estos comandos, dentro de esta categoría están los archivos.bat (los cuales su código no necesita compilación), la extensión .bat es la extensión de archivos por lotes en Windows (interpretados por MS-DOS), alternativamente para Linux están los .SH interpretes de la consola de comandos Bash (Born again shell), aunque actualmente no es necesaria su extensión ya que la Shell determina el intérprete correcto a través de Shebang's.

Saludos

Honestamente no creo que exista, y si lo existiese y circulara por la Internet. Sería tan simple como que PayPal descargara el ejecutable, y se realizara ingeniería inversa, para ver cómo el programa funciona para posteriormente hacer alguna especie de fix.

Saludos

Java actualizado?

Se usa una combinación, primero debes redireccionar el flujo de los que están conectados a la misma red, hacia tu computador y que este posteriormente enlace con Internet (técnica conocida como MITM). Puedes hacerlo envenenando las tablas ARP (ARP Poising), a través de un herramienta de spoffing, yo suelo utilizar arpspoof (linux), con esto ya actuarás como MIT, pero luego requerirás capturar el flujo que viaja por la red, para ello se usa un sniffer, el cual se encarga de capturar paquetes (interceptar), el cual puedes darles filtros a tu gusto. Todo esto permitirá que puedas interceptar conexiones HTTP, VOIP, entre otras (incluyendo su variedad de paquetes). El programa que suelo usar es WiresShark. Para poder interceptar HTTPS, actualmente no es posible, pero si hay métodos que sirven para forzar para que las peticiones por parte de los equipos infectados sean realizados a través de HTTP y tu equipo interactue con el servidor en HTTPS, esta técnica es utilizada por la herramienta SSLSTRIP.

Por lo tanto:  arpspoff + wireshark + sslstrip podría ser de ayuda.

No te preocupes, para eso estamos. Si tienes dudas pregunta acá no es necesario andar indagando, saludos.