Mensajes

Hay muchas páginas de donde puedes descargar plugins para OllyDBG y actualizados.
Mi consejo es que sólo instales los necesarios, los que vayas a utilizar.

Páginas de descarga de plugins:
http://tuts4you.com/download.php?list.9

http://www.woodmann.com/collaborative/tools/index.php/Category:OllyDbg_Extensions

http://www.ech2004.net/

[19 de noviembre de 2009 - Actualización Resource Hacker 3.5 beta]

19 de noviembre de 2009 - Actualización Resource Hacker 3.5 beta

Impresionantemente después de cinco años, Angus nos actualiza uno de los programas más conocidos y utilizados para la edición de recursos.

Según el autor la actualización ha tenido lugar porque tuvo necesidad de acceder a recursos de programas a 64 bits, sin embargo, parece ser que no tiene intención en continuar el proyecto, exactamente este es su mensaje:

"I needed to access resources in a 64bit Windows executable so I've just updated Resource HackerTM to open (ie decompile/recompile) these files too. This new version also displays PNG image resources. However, please understand that I have no intention of reviving this project so please DON'T ask for other features. Also, because I've barely tested this new version I'm releasing it as a trial version only. You can download this new trial (beta) version here - reshack_3.5beta.zip"

Su página web es la siguiente:
http://angusj.com/resourcehacker/

La versión 3.5 beta, la podemos descargar del siguiente enlace:
http://angusj.com/resourcehacker/reshack_3.5beta.zip

[LSL]

Enhorabuena fujiyama.

Gracias a LSL por la gran ayuda.
Tema cerrado.

Muchos programas, en su versión demo no sólo desabilitan ciertas opciones, sino que a la hora de compilar, quitan parte de código o todo el código de esas opciones para que no se puedan reconstruir con ingeniería inversa.

Si estoy en lo cierto y no existe dicho código, tendrás que programarlos tú en ensamblador y puede resultar costoso. Para hacer injertos primeramente necesitas espacio. Normalmente la misma sección de código tiene bytes al final que puedes usar, pero puedes (a veces) agrandar las secciones o añadir nuevas secciones, por ejemplo con el programa Add PE bytes:
http://foro.elhacker.net/programacion_general/add_pe_bytes_v011-t272401.0.html

Examina primero si existe el código para guardar e imprimir.

Un poco de cracking en linux:

Cracking Linux - Juan José

Cracking Linux 2 - Juan José

Cracking Linux con LIDA - marciano

Cracking Linux - +NCR

[15 de noviembre de 2009 - Actualización plugin IDA Stealth]

15 de noviembre de 2009 - Actualización plugin IDA Stealth

Desde hace ya un tiempo, el debugger IDA está teniendo muchos adeptos, y mucha gente que más o menos domina OllyDBG avanza paso a paso con este impresionante debugger como es IDA, capaz de debuggear en ring0.

Por este y otros motivos, cada día se desarrollan nuevas herramientas y plugin's a favor de IDA. Un claro ejemplo es el plugin IDA Stealth, que nos permite ocultar a IDA de las protecciones anti-debugger más comunes.
La última actualización de este plugin es del 15.nov.2009, con las siguientes características:

11/15/2009 - v1.1

    * Bugfix: OpenProcess failed on XP when started from a restricted user account
    * Bugfix: Bound imports directory is only cleared if necessary
    * Bugfix: DBG_PRINT DoS due to improper parameter checking
    * Bugfix: BSOD in RDTSC driver
    * Added: Remote debugging support
    * Added: Profiles support
    * Added: Exceptions with unknown exception code can be automatically passed to the debuggee
    * Added: Inline hooks can be forced to use absolute jumps
    * Improved: GUI has been redesigned to be more usable
    * Improved: AWESOME gfx
    * Changed: HideDebugger.ini is now located in the user's directory at:
      %APPDATA%\IDAStealth\HideDebugger.ini
    * Improved: Whole project compiles with WL4 and "treat warnings as error"

Su página web es la siguiente:
http://newgre.net/idastealth

Así mismo tenemos el plugin Code Doctor actualizado a día 14.nov.2009, que podemos descargar de la página de Tuts 4 You:
http://www.tuts4you.com/download.php?view.2841

Gracias a Shaddy por la información.
karmany

Gracias.

Ha habido bastante gente que me ha preguntado cómo hago para embeber archivos, y cómo se utiliza en su totalidad Add PE bytes, porque hay gente que no entiende las opciones avanzadas.

Cualquier duda no tengo en inconveniente en solucionarlo en un nuevo post o por email o mp.

Es probable que haga un tutorial de cómo usar en toda su extensión el programa "Add PE bytes":
- Cómo añadir bytes o archivos.
- Cómo buscar zonas vacias para injertar código propio.
- Cómo embeber datos.
- Opciones avanzadas.
- Cómo se modifica el PE header. Por ej. es muy interesante para programas con UPX, para injertar código propio.
- Qué otros programas existen similares para embeber archivos. La mayoría son considerados como virus.

Cuando haga este tutorial, lo postearé aquí.

Un saludo
karmany

Ciertamente es un una página interesantísima y es una de mis preferidas.
Yo también estaba pendiente de esto mismo.

Un saludo LSL

Se agradece todo el trabajo que está realizando DeAtH:
"Hola a todos, la página ha estado caída durante las últimas semanas, perdonad el retraso pero no he podido volver a levantarla hasta hoy... y con un backup de Agosto, así que perdonad... tengo un backup más actual, me costará encontrarlo.
En fin, una vez más me disculpo por el retraso y por las molestias que os haya ocasinado.
Un saludo,
DeAtH "

Chicos, lo siento, pero este tema lo tendréis que seguir por privado.

["Cuando dicen "embeber bytes" a que se refieren???"]

Gracias por los comentarios, y más siendo de vosotros.

"Cuando dicen "embeber bytes" a que se refieren???"
Creo que en ningún sitio digo exactamente "embeber bytes" sino "añadir bytes" o "embeber archivos". "embeber" significa para mi "introducir dentro de". Por ejemplo si tienes un archivo .txt y lo introduces dentro de un .exe y ese .exe funciona, eso es embeber ese archivo .txt en el exe.

Lo principal de Add PE bytes que no he visto en ningún otro programa (LordPE, PE Editor etc...) es que es capaz de embeber archivos en cualquier sección de un archivo con formato PE, incluído el PE header. Asimismo modifica el PE header para que cuando añadas bytes en cualquier sección, o embebas un archivo sea capaz de arrancar. Si modificas un archivo de Visual Basic tendrás que leer el archivo de ayuda para que funcione, ahí explico lo que hay que modificar.

El archivo de ayuda de Add PE bytes está embebido en el mismo exe de Add PE bytes, es decir, NO es un archivo aparte, sino que está en Add PE bytes y él mismo lo extrae de sí mismo, y lo ejecuta.



"Cuando se pulsa el botón para añadir bytes aparece un messagebox contra lamers. Es código virtualizado." Que significa eso???
Pues significa eso mismo. Usa Add PE bytes y pulsa el botón "Aplicar". En el momento que lo pulses aparece un MessageBox con mi nombre y mi dirección de correo. Si el programa no estuviera "minimamente protegido", modificar y eliminar ese messagebox sería muy fácil y yo estoy relacionado con ingeniería inversa, así que he virtualizado ese código para que ningún lamer (que no cracker) lo pueda modificar de forma sencilla. Código virtualizado es un código ofuscado, protegido, donde cualquier instrucción de Intel ha sido emulada en una máquina virtual para que no sea posible entender lo que hace. Hay que entender primero esa máquina virtual.
Es una medida muy simple de protección que se me ocurrió.