Mensajes

En una palabra: ¡Impresionante!   

Sólo de pensar que has tenido que realizar todo desde cero para escribirlo paso a paso me quedo impresionado. Excelente y muy bien explicado. Descargado, leído por encima y guardado.

Seguro que has abierto una puerta a aquellos programadores que quieran automatizar todo ese proceso e incluso poder usar sólo las funciones de la IAT.

Un saludo y gracias por compartir.

Eso tiene pinta de ser una protección anti desempacado de UPX.

¿Cómo lo has desempacado con UPX?

PD. Por experiencia diría que lo has desempacado bien pero que tienes una protección que te queda por resolver.

Muy muy bueno, felicidades y gracias por tu trabajo.

Como bien te habrás dado cuenta, el "lenguaje" de los scripts en Olly tiene muchas limitaciones. Es mejor programar tú mismo eso en ensamblador directamente.

Realmente lo que tu navegador finalmente lee es código HTML (HTML-XHTML-HTML5), pero hacer una web entera sólo con HTML generarías una web estática que en determinados casos puede ser útil, pero para web como este foro necesitas generar algo dinámico.

Las web estáticas se crean normalmente con archivos html por página. Tú imagina que tienes una web con 1000 páginas y con 1000 archivos html que has tenido que crear y ahora decides que no te gusta "algo". ¿Sabes lo que tendrías que hacer? modificar todos los archivos html (1000 archivos!). Esto es una pérdida de tiempo.

Para solucionar esto puedes valerte de la programación en servidor y el uso de bases de datos. Un foro o una web de venta se podría crear perfectamente desde cero en php y mysql por ejemplo.

Pero eso también tiene su problema porque crear un foro tú sólo desde cero no es sencillo aparte de solucionar bugs y vulnerabilidades.

Para eso están los CMS que son testeados por millones de personas. Unos se encargan de mejorar el core, otros mediante extensiones se dedican a crear complementos adicionales. Muchos están programados en php y mysql pero están actualizándose continuamente evitando vulnerabilidades, errores etc...

Te hablo por ejemplo en el navegador Chrome.(porque como firefox se ha actualizado tal vez no esté todavía algún plugin). Tienes una opción que te indica herramientas -> herramientas para desarrolladores.

Ahí tienes todo lo que tu página ha cargado y si desplegas la etiqueta head (mejor dicho elemento que es todo lo que contienen las dos etiquetas de inicio y cierre) verás si tu archivo de estilo ha sido cargado.

Mira esta herramienta para desarrolladores o la extensión de firefox firebug son indispensables y tanto si eres programador como un usuario que comienza, debes conocer y usar esta fantástica herramienta. Recomiendo que la uses.

Edito: Mira por ejemplo esta misma página la he analizado con la extensión Firebug para Firefox, mira la hoja de estilos que se usa:

El enlace a tu archivo de estilos se hace dentro de las etiquetas head de esta forma:

<link type="text/css" href="estilo.css" rel="stylesheet" />

Supongo que funcionará bien con txt pero la extensión css se usa para esto, aunque realmente es un archivo de texto (text/css). Y lo que haces tú está bien.

Tu problema podría ser que en tu navegador no has borrado la caché.

Añado: De todos modos, desde tu navegador usa las herramientas para desarrolladores para ver si el archivo de estilos es cargado correctamente, esta es la forma más sencilla de verificarlo.

[Offset]

Cuando se habla de Offset en el archivo físico se habla de:
Raw Offset

Cuando se habla de Offset relacionado con la carga del programa en memoria se habla de:
Virtual Offset

Cuando hablamos de offset nos referimos a un desplazamiento, aunque normalmente se suele utilizar para relacionar el Raw Offset. Al igual que dice _Enko algunos autores cuando hablan de offset suelen utilizarlo para hablar de VA.

La RVA (Relative Virtual Address) es una dirección virtual relativa, que corresponde a la VA cargada en memoria a la cuál se le resta la Image Base. En el ejemplo que te ha puesto _Enko, el valor que él ha llamado OFFSET corresponde a la VA.

Para que veas un poco la diferencia de valores entre offset (raw) y RVA te recomiendo que uses este programa mio y verás dichos datos:
http://foro.elhacker.net/ingenieria_inversa/file_location_calculator_v032_por_karmany-t262979.0.html

Yo creo (por defecto) que no se puede ni en 1.10 ni en v2. Podrías preguntárselo al autor que siempre responde, por lo menos a mi.

Tal vez con algún plugin o modificando tú mismo el propio ollydbg. A mi no me molesta que esté todo en una carpeta. Sí que es verdad que si depuras muchos programas aparecerán muchos archivos udd, pero una vez que acabas con uno, lo borras.

Pregúntaselo a Oleh Yuschuk, seguro que te responderá.

No sería mucho más fácil hacer la monitorización con otros programas específicos.

En el foro sobre redes te podrán asesorar mucho mejor que yo. Yo hace tiempo usaba el programa Commview que hace un trabajo impresionante.

Pero repito, que este tema tendrías que preguntarlo en el foro sobre redes.

Sobre el tema de las API, tal vez IDA te de mayor información.

Veo que tienes problemas al hacerlo a mano, inténtalo con una herramienta.

1.- ¿Has probado a desempacarlo directamente con UPX? Esta debería ser tu primera opción.
2.- Si no, puedes intentarlo con este excelente programa:
http://crackinglandia.blogspot.com/2010/04/tool-fuu-faster-universal-unpacker.html
3.- O con éste:
http://www.ech2004.net/download.php?archivo=166&tipo=h