¡Hola!
Soy nuevo en el foro, es mi primer escrito y me voy a presentar.

Llevo unos cuantos años jubilado y antes ya estuve practicando con el OLLY y las explicaciones del gran Narvaja. Con objeto de no caer en el encefalograma plano he vuelto a abrir aquellos apuntes y, visto que también los recomendáis vosotros para empezar desde cero, me he animado a registrarme para poderos preguntar las pegas que me vayan surgiendo. Cuando lo haga me referiré
a la lección y el crackme del que estoy hablando, a no ser que me indiquéis que hay que adjuntarlo.

Mi SO es W7 32 bits.
Aquí va mi primer tropiezo.

Lección 21, buggers3.exe
Uso OLLY con nombre cambiado y con el pluggin Hide Debugger con IsDebuggerPresent y FindWindow/EnumWindows marcados.

Comienzo a correrlo
F8 en 401000 pone ECX a 0
F8 en 401004 DEC ECX y lo pone a FFFFFFFF
En 401005 va a poner EDX a 0000003B
Si trato de ir a esa dirección en el Dump, "No memory on specified address" en rojo.
Si le doy al F8:
Access violation when reading [0000003B]- use shift.....
Después de shift+F9
Debugged program was unable to process exception.
Y tras F9
Ventana que invita a cerrar el programa.

Si corro el programa directamente me aparece la ventana diciendo que buggers3 dejó de funcionar.
¿Será que mi buggers3.exe está mal o será por correrlo en W7? ¿Cómo podría hacer que funcionase el programa? ¿Tenéis por ahí alguno que marche bien?

Saludos.

MCKSys Argentina deberías re-escribir los tutoriales de ricardo a una versión actualizada Seguro que te lleva poco tiempo jaja

¡Hola!
Gracias por las prontas respuestas, pero he probado con el emulador de XP de Windows y me provoca el mismo error.

Si supiese qué valor distinto de 0 debe de aparecer en ECX tras ejecutar la línea 401000 en un bugger3 que funcione bien, sería una solución para mi. ¿Alguien me lo podría decir?

Saludos

Bueno, me he bajado la lección 21 del curso de ricnar y en la primer imagen se ve lo que relatas y el problema:

Si miras la imagen, en 401000 hay un MOV ECX, DWORD PTR [ESP+24]. Ahora, Olly muestra como comentario, que en esa direccion está el valor 7C816D58. Además, te dice a quién pertenece dicha dirección: kernel32.

Entonces, el programa está obteniendo una dirección de kernel en el EP. Y como has escrito:


Ahí está tu problema. Te recomiendo nuevamente usar una VM y Windows XP. Si en SP3 no te funciona (que debería  ) puedes probar con SP2.

Saludos!

Dale duro pues! Por el momento te cierro el hilo ya que está solucionado, cualquier otra duda ya nos dices.

Tambien te aconsejo lo siguiente:

Los tutoriales de ricardo son excelentes, explica los conceptos basicos y no tan basicos para que cualquiera pueda empezar. Lo único que tienes qu eponerte en situación es que esos tutoriales son algo antiguos y las herramientas utilizadas a veces han quedado obsoletas y reemplazadas por versiones mucho mejores.

Es el caso de los plugins de olly, en el tutorial te enseñará un monton de plugins para defenderte prente a protecciones, a dia de hoy con un par de plugins como HideOD o phant0m obtienes mejores resultados que si utilizas la cocktelera de plugins que explica ricardo.

Te dejo ésto como TIP, si te vuelves a encontrar algún problema nos preguntas.

Suerte!