Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - ignorantev1.1

#461
Ingeniería Inversa / Re: Apis Winsock
4 Noviembre 2011, 23:27 PM
Creo que no me estás entendiendo:

Los paquetes los puedo atrapar facilmente utilizando una aplicación llamada Wireshark, pero necesito ver más allá que solo paquetes: por ejemplo, cuando y como se envian, tratar de decifrarlos, etc. El tema es más de ingeniería inversa que de nada, pienso yo.

En fin, olviden todo lo de redes: solo quiero reconocer las funciones de Winsock en ollydbg  :xD, ¿me ayudan?

Saludos!
#462
Ingeniería Inversa / Apis Winsock
4 Noviembre 2011, 18:48 PM
Hola, pues necesito descifrar los paquetes entrantes y salientes de cierta aplicación, atravez del ollydbg pienso colocar breakpoints en las APIs de winsock, el problema que ollydbg me muestra las APIs enumeradas y no por su nombre, repito las APIs de Winsock... ¿Cómo saber cuál API es cuál?

Por ejemplo:

CitarWinSock.#14

Saludos y gracias!
#463

#464
No podrás, tendrá qué pasar un tiempo(días) para poder hacerlo  ;-)

De la manera en que llego allí es por medio del cheat engine, busco el valor del maná y me ubico en el ollydbg...

Saludos!
#465
@tena

Es el maná del personaje, no es muy importante, pero en base a la solución(qué espero encontrar) lograré apoyarme en otros datos.

¿iniciaste sesión o solo ejecutaste el programa?

Saludos!
#466
CitarNo todas las cabeceras PE son iguales

Claro, pero la cabecera del programa en cuestión es la misma para todas las maquinas.

CitarRVA: Valor relativo en memoria (Relative Value Address)                                 
     VA: Valor absoluto en memoria (Value Absolute)                                                               
     RAW: Dirección en el disco

¿Estos datos son de la info del PE?

No quería llegar a esto, pero si gustan el programa en custión aquí está, solo que deben registrarse para poderlo usar:

http://download.tibia.com/tibia931.exe

Saludos y gracias!
#467
@Enko_

:xD Claro que sé lo que es un puntero, ese no es el problema, en serio.

Mira:



Supongamos que en otra maquina, abro el proceso y leo el offset 4146D2, me dá "0". Por que, supongo, el rango de valores no es el mismo, ¿por qué?, no sé, memoria disponible, OS, 86 o 64, ¿qué sé yo?, pero no es el mismo...

Saludos y gracias!




#468
Código (vb) [Seleccionar]

Option Explicit
   
'Api para generar un evento de tecla, en este caso Print Screen
''''''''''''''''''''''''''''''''''''''''''''''''''''''
Private Declare Sub keybd_event _
    Lib "user32" ( _
        ByVal bVk As Byte, _
        ByVal bScan As Byte, _
        ByVal dwFlags As Long, _
        ByVal dwExtraInfo As Long)
   
'recibe la ruta donde crear el BMP
''''''''''''''''''''''''''''''''''''''''''''''''''
Private Sub Capturar_Guardar(Path As String)
       
    ' borra el portapapeles
    Clipboard.Clear
       
    ' Manda la pulsación de teclas para capturar la imagen de la pantalla
    Call keybd_event(44, 2, 0, 0)

    Do While Clipboard.GetData = False 'Esperas hasta que termine de cargar los datos
        DoEvents
    Loop
   
    ' Si el formato del clipboard es un bitmap
    If Clipboard.GetFormat(vbCFBitmap) Then
        'Guardamos la imagen en disco
        Picture1.Picture = Clipboard.GetData(vbCFBitmap) 'Primero a un Picture...
        Clipboard.Clear 'Limpiar
        SavePicture Picture1.Picture, Path '...y luego guardas
        MsgBox " Captura generada en: " & Path, vbInformation
    Else
        MsgBox " Error ", vbCritical
    End If
   
End Sub
   
Private Sub Form_Load()
    Command1.Caption = " Capturar pantalla "
End Sub

Private Sub Timer1_Timer()
Call Capturar_Guardar("c:\pantalla.bmp")
End Sub


Espero y te sirva, saludos!
#469
A ver, a ver si te entiendo:

¿Los datos se empiezan a almacenar en la sección ".data"?
Bueno, supongo que a esa sección corresponde "RAW" o "RVA" del que haces referencia, pero para que sea valido es necesario sumarle "imagebase"... ¿sí?

Ahora:

Estos datos se pueden obtener leyendo la info PE del programa, y el programa para cualquier maquina tiene la misma cabecera(ya lo comprobé), o sea que "RAW" + "imagebase" es igual para todas las maquinas, pero hay algo que cambia, y supongo "en tiempo de ejecución".

Disculpame si no entiendo, pero no tengo mucha experiencia en esto, así que si estoy mal, por favor, ¿a qué datos te refieres?...

Gracias y saludos!
#470
Mmmm, pues sigo intentando, las posiciones varían segun la maquina, lo de "hacer el injerto" no me sirve...



Intentaré lo del bp condicional... a ver qué resulta...

También he leido algo y me topé con que "base address", no sé qué con eso...

A ver, a ver: ¿Cómo encuentro la dirección absoluta ese dato?, Sumandole qué con qué o restandole qué con qué... ¿Quién ayuda?
Saludos y gracias!