Mensajes

[08 de mayo de 2011 - Break on Execution 1.1b]

08 de mayo de 2011 - Break on Execution 1.1b

Nuevo plugin para OllyDBG muy interesante realizado por DCrack que posiblemente tengas que usar repetidamente.

Cuando en OllyDBG 1.10 pones un breakpoint en una determinada sección, tienes la opción de ponerlo en lectura o en escritura pero en ejecución no se suele realizar correctamente. Hasta ahora para poner un breakpoint en ejecución se solía recurrir (y se recurre) al plugin OllyBonE pero que no es fácil hacerlo funcionar correctamente y además (según mi experiencia) no es compatible con Windows 7. El plugin Break on Execution permite que cuando pongas por ej. un breakpoint en lectura sea un bp en ejecución. Como ves puede resultar muy útil...

http://tuts4you.com/download.php?view.3123

Este es un tema interesante.
Te dejo unos enlaces que considero buenísimos sobre modo protegido y acceso a ring0.
Realizados por Saccopharynx (Admiro el trabajo de esta persona y si tienes cualquier duda puedes contactar con él):
Modo protegido por Saccopharynx

[01 de mayo de 2011 - RDG Packer Detector v0.6.7]

01 de mayo de 2011 - RDG Packer Detector v0.6.7

Por fin está RDG Packer Detector versión 0.6.7 en descarga. ¡Esperadísimo!. Por fín también es totalmente compatible con Windows 7 ya que se cerraba de forma inesperada buscando alguna función desconocida.

RDGMax también ha escuchado todas vuestras sugerencias y ha actualizado las librerías de signaturas.

Realmente es un trabajo fabuloso, que todos le pedíamos que actualizase y por fín lo tenemos.

Su página:
http://www.rdgsoft.8k.com/

Gracias RDGMax, excelente trabajo.

Interesantísimo tena. Para la gente menos experimentada es de lectura obligada porque aparte de que la IAT está totalmente destrozada, se encuentra fuera del ejecutable. tena, por su parte, restaura la IAT de forma magistral y con el programa UIF introduce la IAT dentro del ejecutable.

Un tutorial muy requeteinteresante. Recomiendo estudiar este tema que he comentado.
Gracias por compartir tena.

[Excelentes tutoriales de 43H4FH44H45H4CH49H56H4]

Excelentes tutoriales de 43H4FH44H45H4CH49H56H4

43H4FH44H45H4CH49H56H4 ha realizado una serie de excelentes tutoriales detallados que no se pueden perder:

http://foro.elhacker.net/ingenieria_inversa/crackeando_eyecopia_207_1460-t319355.0.html

http://foro.elhacker.net/ingenieria_inversa/operaciones_matematicas_basicas_en_vb6_keygen_doccf_software_de_gestion-t322174.0.html

http://foro.elhacker.net/programacion_cc/mysql_browser_c_y_qt-t321390.0.html;msg1600069#msg1600069

Bueno, yo no entiendo mucho de esto pero se podría probar a poner un message breakpoint del mensaje 101 o 202 al botón no?

Sí también es muy utilizado pero seguro que más complejo.
Para hacer esto que te comenta sunicomi debes ejecutar el programa en OllyDBG, después tienes que ir a la ventana Windows de OllyDBG (en la barra de herramientas pulsa la W). Allí busca el botón que quieres y sobre él pulsa botón derecho "Message Breakpoint on ClassProc". Lo que dice sunicomi es que busques algún evento, por ejemplo él indica 101 = WM_KEYUP o 202 = WM_LBUTTONUP. En la ventana de Windows de OllyDBG puedes probar varias opciones...

En visual C++ depende si se ha programado con API directamente o se ha realizado con la Microsoft Foundation Classes. Esto te lo indica seguramente cualquier detector de packers o examinando un poco el código y viendo las librerías usadas.

En general, para hacer lo que quieres, tienes que buscar alguna referencia, ¿sale algún MessageBox? Puedes intentar algo sencillo como pulsar el botón leer y rápidamente pulsar F12 en olly que es la pausa y ver la pila, posiblemente te lleve a la zona que tú buscas. Tienes que probar... por ejemplo también, si el botón pone leer, tal vez abra una nueva ventana... podrías capturar la API. ¿Se desactiva el botón leer? Tal vez llame a sendmessage...

[05 de abril de 2011 - SirPE v0.50 beta]

05 de abril de 2011 - SirPE v0.50 beta

Después de un largo tiempo, aquí tenemos la nueva versión del SirPE para la plataforma de 64bits.

Recordemos que este programa trabaja tanto con ficheros PE (32bits) como PE+(64bits).
Enlace noticia y descarga:
http://guandedio.no-ip.org/sirpe/sirpe-64bits/50-nueva-version-sirpe.html

11 de abril de 2011 - OllyDbg 2.01 alpha 3

Nueva versión de OllyDBG, con nuevas características. Tiene un montón de nuevas características.

Más información:
http://www.ollydbg.de/

aun no, y eso que cada 15 dias normalmente le consulto a su mail que esta en la pagina, siempre dice, que le falta poco, pero no dice nada

Respecto a RDG Packer Detector: Yo hace tiempo le mandé un email y me dijo que sacaría la versión 0.6.7 pública y en breve. Ya no se lo he vuelto a preguntar más. Realmente para los usuarios es algo incongruente:
-Su página Web nos indica la versión 0.6.7 y no es posible descargarla de ningún sitio.
-La versión 0.6.6 sí que es posible descargarla desde otro sitio porque tampoco hay enlace en su Web...

El hecho es que lleva tiempo sin tener un enlace en condiciones. Además la versión 0.6.6 no es compatible con Windows 7 (a mi me da error). Hay muchos programas detectores de packers.
Un saludo

La forma más sencilla es simplemente modificando el salto condicional, tal que así:



Si quieres estudiar cómo se realiza el algoritmo de comparación del serial, tienes la explicación aquí:
http://www.woodmann.com/crackz/Tutorials/Cruehds.htm

Un saludo