Mensajes

Tendríamos que echarle un vistazo al ejecutable para poder analizarlo.

Gracias apuromafo porque ni me acordaba de CFF. Recuerdo que también existe en esa página Rebel.NET que permite extraer y luego recomponer un montón de cosas.

Para modificar recursos como el que dices Pickart:
LaunchpadEnhanced.ThemeBrowser.resources
hay muchos programas, tienes por ejemplo éste:
http://fishcodelib.com/Resource.htm
que tiene buena pinta...



La verdad que es muy interesante este tema y me gustaría profundizar mucho más. Hace tiempo quise hacer un resource hacker para NET pero cuando busqué información sobre los recursos en NET (y eso que hay código fuente por ahí) pues me dí cuenta que yo sólo no tengo el suficiente tiempo.
Sobre el programa Rebel.NET creo que deberíamos echarle un vistazo porque lo considero muy interesante. Existe además en su página un ejemplo completo con descargas incluídas.
CFF Explorer (gracias apuromafo por recordármelo) también permite el dumpeo de recursos en NET que no se ven con ningún otro editor de recursos.

Un tema muy interesante.

Yo no te recomiendo que uses sólo OllyDBG 2.0.1 porque no tiene todavía implementado el uso de plugins. Pienso que deberías intentarlo como te dice apuromafo (sobre todo para poder seguir determinados tutoriales) o como te he dicho: bajándote el ollydbg 1.10 original e ir poniendo plugins uno a uno. El plugin que falle, lo eliminas.

Bueno, es tu decisión. Me alegro que lo hayas solucionado, un saludo.

Muchos errores se producen en Windows 7 al usar plugins adicionales que, o tienen conflicto entre ellos o provocan algún conflicto con Windows 7.

A mí OllyDBG 1.10 original y OllyDBG 2.01 alpha2 original me funcionan perfectamente en Windows 7.
Además no veo que sea un error, sino que OllyDBG te avisa que no puedes leer la memoria de un proceso debuggeado. Además esa dirección es extraña, es muy alta para un proceso que tú hayas depurado.

Yo te recomiendo que bajes la versión 1.10 original y que vayas poniendo plugins hasta que veas si te da el error.

[20.febrero.2011 - OllyDbg 2.01 alpha 2]

20.febrero.2011 - OllyDbg 2.01 alpha 2

Nueva versión de OllyDBG, con nuevas características. Es capaz de analizar ejecutables en .NET:
Sus nuevas características.
The most important novelty is that this version is compatible with Windows 7. I have tested it under Win7 Home Premium 32-bit. If you find any problems, please inform me immediately. Don't forget to add the screenshot of the Log window.

Other improvements:
- Aware of avast! antivirus and modifications it makes to the PE header;
- .NET analysis, very rough yet. .NET debugging is not supported, but at least I can disassemble CIL and parse .NET streams;
- Speech API support. You need SAPI 5.0 or higher installed on your computer. Open Options, select Text-to-speech and check "Activate text-to-speech";
- List of found switches;
- List of referenced GUIDs. Internal database keeps ca. 8000 known GUIDs. Additionally, OllyDbg scans registry and extracts GUIDS registered on your computer;
- Search for modifications;
- Creation of backups from the executable file. If you suspect that virus has modified the code in the memory, just extract the backup from .exe or .dll and search for highlighted modifications. Note that OllyDbg does not restore imports;
- In Open dialog you can specify the current directory for the Debuggee;
- Chinese and other UNICODE file names are correctly preserved in the ollydbg.ini;
- Multiple less important features and bugfixes.

Más información:
http://www.ollydbg.de/

Edito...

Me he ido por otros mundos muy pero que muy lejanos(estaba hablando del instalador tal cual está en descarga   
Efectivamente, como dice apuromafo es un .NET

______________________________________________

La forma más sencilla de todas es que abras un editor hexadecimal y modifiques las strings a mano. Todas las strings están guardadas dentro del ejecutable en Unicode, así que tienes que seguir ese formato y adaptarte a los tamaños.
Creo que hay algún programa que te permite hacer esto de forma sencilla(me refiero a no modificar código), a ver si algún usuario conoce alguno...ya que todos los textos están al final del ejecutable y las strings se cargan en InitializeComponent.

Mira, para desempacar UPX sin complicarte la vida usa PEExplorer que tiene un excelente plugin. Simplemente abres con PE Explorer ese ejecutable y seguidamente lo vuelves a guardar.

http://www.heaventools.com/overview.htm

Desempacar un UPX suele ser muy sencillo, puedes probar incluso con el mismo UPX:
http://upx.sourceforge.net/

[08.febrero.2011 - OllyDBG para .NET?]

08.febrero.2011 - OllyDBG para .NET?

Voy a intentar explicar los dos nuevos mensajes que publicó Oleh en su página.

-El día 06 de febrero de 2011, el autor de OllyDBG, publicó en su página Web una duda que tenía acerca de cómo hacer un debugger para NET. No sabemos si es que quiere que OllyDBG sea capaz de depurar código nativo y .NET, o va a crear una herramienta paralela sólo para NET.
Según él, analizar un debugger para .NET y desensamblarlo es sencillo, tal vez demasiado sencillo ("maybe too easy"), pero hay un problema y es que para depurar aplicaciones en .NET se necesitan API específicas: por ejemplo para poner un simple INT3 se usa ICorDebugProcess2::SetUnmanagedBreakpoint. El problema es que Oleh usa para crear OllyDBG Borland C++ y estas API específicas aparecen en C# 3.0. La pregunta que hace Oleh es: ¿Cómo puede llamar a ICorDebugProcess2 desde Borland?

-Día 08 de febrero de 2011.
Parece ser que dos días después tuvo muchas respuestas a su mensaje, y se quedó con la solución que parece más sencilla: ICorDebugProcessQueryInterface(IID_ICorDebugProcess2...)

Más información y post originales en el siguiente enlace:

http://www.ollydbg.de/



Aunque éste es un apartado de noticias, en todo el mismo he intentado ser lo más objetivo posible sin plantar mi propia opinión. Pero en este artículo voy a ser un poco  diferente. Si el lector no está interesado que salte el comentario.

[Opinión de karmany]
Realmente el desarrollo de OllyDBG versión 2.0 se comenzó allá por finales del año 2006. Empezó como una nueva versión que plantará cara y será mucho mejor que la archiconocidad 1.10. Tiene muchas más opciones de análisis y unas mejoras que no voy a explicar aquí.
Después de unos 5 años ha salido la versión 2.0.1 a la cuál posiblemente sólo le quede la implementación de los plugin, algo que hará al programa estar al nivel de su antecesor y los programadores de plugins empezarán a modificar sus herramientas para adaptarlas a su nuevo entorno.
El autor empezó a trabajar en el debugger de 64bits y ahora en .NET, y para mí es posible que éste último no sea el camino o la orientación adecuada. Parece ser que el trabajo de esta magnifica herramienta está siendo desarrollado por una sola persona y esto ralentiza mucho cualquier adelanto.
Yo me planteo lo siguiente: ¿No sería mejor terminar ya la versión 2 para ejecutables en Win32?¿No sería mejor realizar tres proyectos diferentes: 32bits, 64bits y .NET?
Sólo sé que el debugger para win32 se está ralentizando enormemente, y pienso que tendría que haber nacido hace ya uno o dos años.
Saludos
[/Opinión de karmany]

Muéstranos cuál es la dll y el texto que quieres cambiar.

Supongo que el tema debería ir en electrónica. El tema ha sido movido a Electrónica.

http://foro.elhacker.net/index.php?topic=310753.0