Mensajes

Sobre el tema:
B8 07000000   mov     eax, 7
también tiene de positivo que son 3 bytes 00 y a la hora de comprimir mucho mejor.

Pero como curiosidad se me ocurre que podemos también comernos un byte:

Código [Seleccionar] Expandir

00401000     33 C0          xor eax,eax
00401002     B0 07          mov al,7
o

Código [Seleccionar] Expandir

00401000     33 C0          xor eax,eax
00401002     04 07         add al,7


Y se me ocurre esta de 5 bytes:

Código [Seleccionar] Expandir

00401002      B0 07         mov al,7
00401004      0FB6C0        movzx eax,al

E incluso haciendo pruebas he intentado exprimir para conseguir 3 bytes:

Código [Seleccionar] Expandir

00401007      6A 07         push 7
00401009      58            pop eax

Hola mikebor2001, bienvenido...

Sube uno cualquiera de los exe y le echamos un vistazo a ver.
No te prometo nada pero veremos entre todos lo que podemos hacer.

Cuando hagas modificaciones en un ejecutable con OllyDbg puedes guardar los cambios del siguiente modo:
pulsas botón derecho ratón --> copy to executable --> all modifications

Sale una nueva ventana y pulsas el botón: copy all

Después te sale otra ventana y simplemente pulsas:
botón derecho ratón --> save file

Esto es para OllyDbg 1.10. También te comento que a veces si haces modificaciones en una sección y realizas la copia desde otra sección es posible que no se modifique. Yo modifico sección por sección.

[CRACKME: NaXoS v1.1 por [Everth]]

CRACKME: NaXoS v1.1 por [Everth]

Autor: [Everth]
Nombre: NaXoS 1.1
Fecha: 10 de julio de 2009
Tamaño: 587 KB
Hash MD5: ed1fb6da28786dce682365c4eb0aa6d3
Compilador y/o Packer: Borland C++ Builder 6
Objetivos:
ORO--> realizar un keygen.
PLATA---> encontrar el serial valido para tu nombre.
BRONCE--> parchea el crackme.
Y no olvidarse de hacer un tute...

Dificultad: - (1-10).
Descarga del crackme:
mismo link.
Post Original:
http://foro.elhacker.net/ingenieria_inversa/naxos_11-t260735.0.html
Tutorial con la solución:
Solucionado por Høl¥ fue el primero en solucionarlo llevándose el premio ORO..

Sí está interesante.
Su página web es la siguiente:
http://netdecompiler.com/

Para ver las entrañas de programas hechos para NET tienes multitud de herramientas, algunas vienen en las SDK como los debuggers...
Puedes usar:
NET Reflector --> http://www.red-gate.com
http://www.lutzroeder.com/

Tienes otras herramientas gratuitas como:
Calimero -> es una IDE para usar el debugger mdbg.exe(Microsoft managed debugger)
IlDasm -> traduce el código máquina a código IL. Muy útil ya que es de los pocos que muestran los bytes.
Illy -> es un plugin para OllyDBG muy interesante ya que se detiene en el código real en el debugger.
DotNET_tracer -> Un programa realmente útil que lo uso para ver qué funciones son llamadas. Te deja un log con las funciones que han sido utilizadas y así puedes orientarte.
Reflexil 0.9.1 -> un add-in para NET Reflector para modificar directamente el código IL.
CorDBG.exe -> Otro debugger para NET muy similar a mdbg.exe

[OCX en Visual Basic 6 y subclaves (CLSID) por karmany]

Un ocx trátalo igual que lo harías con una dll.

Normalmente los ocx se suelen utilizar con Visual Basic, hice hace tiempo un ejemplo que te puede orientar. Creé un karmany.ocx, lo único que no está empacado pero échale un vistazo:
OCX en Visual Basic 6 y subclaves (CLSID) por karmany

El forero WHK hizo por messenger una entrevista a Solid.

Solid, miembro de CrackSLatinoS, es un usuario con altos conocimientos y mucha experiencia en Ingeniería Inversa que ha escrito infinidad de documentos mostrando las entrañas de cualquier archivo. Es una de las personas más conocidas en lengua Hispana.

Particularmente, admiro su talento, su paciencia con la gente novata (impresionante, yo no puedo), su dedicación y pasión por la informática y por encima de todo el trato con todo el mundo, hablas una vez con él y parece que lo conoces de toda la vida.

Un saludo desde aquí Solid.
karmany

Entrevista:
Enlace entrevista

A simple vista estoy con tincopasan: me parece que esa dirección no tiene pinta de ser el OEP. Es una dirección bastante alta y yo no reconozco ese oep, es como si estuviera todavía descomprimiendose.

Sobre Molebox hay muchos tutoriales, yo te recomiendo los hechos por Solid ya que hicieron muchos.

Molebox, por si no lo conoces, es un gran programa (para mí el mejor) para embeber librerías o archivos en el mismo ejecutable. Un programa con Molebox se descomprime y ejecuta las librerías en memoria sin necesidad de registrarlas. Con esto te quiero decir que tal vez necesites extraer determinadas librerías para que te funcione correctamente.

PD. Realmente Molebox es un programa excelente.

Me ha parecido muy interesante. La verdad que el tema de analizar virus, malware etc... es impresionante aunque pueda resultar a veces agobiante por el trabajo que puede acarrear.

Yo quería comentar que hace sólo una semana, en mi Windows XP original con SP3, con NOD32 actualizado, con ZoneAlarm actualizado y con Ad-Watch en ejecución se me coló uno de los peores virus que he visto: VIRUT. La verdad que la única solución fue formatear porque me infectó muchos archivos. Me resultó muy curioso y he estado tentado a analizarlo ahora en una máquina virtual, pero he desistido por falta de tiempo. Me parece muy interesante cómo y por dónde se ha podido colar este curioso virus que parece ser ya no afecta ni a Vista ni a W7.
Recuerdo que lo desensamblé y aparecía una simple API: FIndWindow pero rápidamente se introducía en un código ofuscado que no quise seguir...

Buen artículo...

Muy bueno... gracias.