Aunque el tute de shady esta muy bien explicado paso a paso y no deberias tener problema alguno..
Saludos
Saludos
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#411
Ingeniería Inversa / Re: [.EXE Protegido con UPX V1.95 Beta 2.00W] Ayuda
21 Marzo 2008, 18:53 PM #412
Ingeniería Inversa / Re: [.EXE Protegido con UPX V1.95 Beta 2.00W] Ayuda
21 Marzo 2008, 18:51 PM
Si solo lo quieres para editarlo...
Lo podes desempacar con el plugin que trae el Peid
saludos
Lo podes desempacar con el plugin que trae el Peid
saludos
#413
Ingeniería Inversa / Re: Cómo desempacar un UPX para Newbies
21 Marzo 2008, 18:48 PM
No te manda a un pushad, te manda a un popad
saludos
saludos
#414
Ingeniería Inversa / Re: Ayuda a quitar armadillo
23 Febrero 2008, 03:15 AM
Funciona perfecto y en un solo proceso.
Felicitaciones
tena
Felicitaciones
tena
#415
Ingeniería Inversa / Re: Ayuda a quitar armadillo
22 Febrero 2008, 23:49 PM
Este es el oep
00412FA0 PUSH EBP
00412FA1 MOV EBP,ESP
y no tiene iat scramble
0041C544 77D1F652 USER32.CallWindowProcA
0041C548 77D2D9B8 USER32.ChildWindowFromPoint
0041C54C 77D2935C USER32.CopyIcon
0041C550 77D1D4FE USER32.DefWindowProcA
0041C554 00BA0F10
0041C558 77D1F797 USER32.EnableMenuItem
0041C55C 77D1B62D USER32.EndPaint
0041C560 77D55279 USER32.EnumPropsA
0041C564 77D1C267 USER32.FillRect
0041C568 77D1D668 USER32.GetActiveWindow
Suerte
00412FA0 PUSH EBP
00412FA1 MOV EBP,ESP
y no tiene iat scramble
0041C544 77D1F652 USER32.CallWindowProcA
0041C548 77D2D9B8 USER32.ChildWindowFromPoint
0041C54C 77D2935C USER32.CopyIcon
0041C550 77D1D4FE USER32.DefWindowProcA
0041C554 00BA0F10
0041C558 77D1F797 USER32.EnableMenuItem
0041C55C 77D1B62D USER32.EndPaint
0041C560 77D55279 USER32.EnumPropsA
0041C564 77D1C267 USER32.FillRect
0041C568 77D1D668 USER32.GetActiveWindow
Suerte
#416
Ingeniería Inversa / Re: Ayuda a quitar armadillo
22 Febrero 2008, 21:58 PM
Bajate este tute de NCR y Marcianoi que esta muy bueno
http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/657-Armadillo%20v4.40%20CopyMemII%20DebugBlocker%20Import%20Table%20Elimination%20por%20NCR%20y%20marciano.rar
0044EF50 CALL Noddy_3_.0044F2A0 <==descifra
0044F21B CALL Noddy_3_.0044F2A0 <==cifra
Saludos
tena
http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/657-Armadillo%20v4.40%20CopyMemII%20DebugBlocker%20Import%20Table%20Elimination%20por%20NCR%20y%20marciano.rar
0044EF50 CALL Noddy_3_.0044F2A0 <==descifra
0044F21B CALL Noddy_3_.0044F2A0 <==cifra
Saludos
tena
#417
Ingeniería Inversa / Re: Ayuda a quitar armadillo
22 Febrero 2008, 21:23 PM
es un armadillo con todas sus armas:
<------- 22-02-2008 17:54:32 ------->
D:\Noddy 3.4.exe
!- Protected Armadillo
Protection system (Basic)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
No Registry Keys at All
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
Store Environment Vars Externally
Disable Monitoring Thread
Use eSellerate Edition Keys
Don't Fall Back to Stand-Alone Mode
!- Version 4.48
<------- 22-02-2008 17:54:32 ------->
D:\Noddy 3.4.exe
!- Protected Armadillo
Protection system (Basic)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
No Registry Keys at All
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
Store Environment Vars Externally
Disable Monitoring Thread
Use eSellerate Edition Keys
Don't Fall Back to Stand-Alone Mode
!- Version 4.48
#418
Ingeniería Inversa / Re: Eliminar Nag-Screen en VB6
21 Febrero 2008, 19:35 PMCita de: Mintaka en 20 Febrero 2008, 20:19 PM
Grrr y mira que te lo advertí:
Bueno, ya te darás cuenta de que no se puede eliminar de un plumazo.
A ver, ¿que te parece esta solucion?:
1138DD37 8D55 DC LEA EDX,DWORD PTR SS:[EBP-24]
1138DD3A 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX
1138DD3D 52 PUSH EDX ;SUSTITUYE ESTOS DOS
1138DD3E 56 PUSH ESI ;PUSH POR JMP 1138DD45
1138DD3F FF91 C4000000 CALL DWORD PTR DS:[ECX+C4] ; A LA NAG
1138DD45 68 89DD3811 PUSH AMLicenc.1138DD89
1138DD4A EB 3C JMP SHORT AMLicenc.1138DD88
Saluducos,
Mintaka
Entonces lo de Nopear los push y el call era valido...
tena
Cita de: tena en 16 Febrero 2008, 14:01 PM
No lo e visto, pero capas que tengas que nopear esos dos push
que estan antes del call, ademas de este por supuesto..
Saludos
tena
#419
Ingeniería Inversa / Re: algun tutorial programa comprimido
16 Febrero 2008, 14:10 PM
Pasale el RDG PACKER DETECTOR
#420
Ingeniería Inversa / Re: Eliminar Nag-Screen en VB6
16 Febrero 2008, 14:01 PM
No lo e visto, pero capas que tengas que nopear esos dos push
que estan antes del call, ademas de este por supuesto..
1138DD3D 52 PUSH EDX
1138DD3E 56 PUSH ESI
1138DD3F FF91 C4000000 CALL DWORD PTR DS:[ECX+C4] ; A LA NAG
Suerte
que estan antes del call, ademas de este por supuesto..
1138DD3D 52 PUSH EDX
1138DD3E 56 PUSH ESI
1138DD3F FF91 C4000000 CALL DWORD PTR DS:[ECX+C4] ; A LA NAG
Suerte