elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Comprensión librería .dll + Única función
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Comprensión librería .dll + Única función  (Leído 4,142 veces)
johnburn

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Comprensión librería .dll + Única función
« en: 18 Mayo 2011, 22:53 pm »

Buenas tardes  ;D

Qué tal, me encuentro intentando comprender una funcionalidad que desconozco de una librería que no poseo el source, les explico la situación: hay un ejecutable, llamémosle pepe.exe, el cual carga un archivo, llamémosle hola.bmd, de un path concreto.
Ahora, a este pepe.exe se le agregó una librería, llamémosle chau.dll, que lo que hace es modificar el comportamiento de pepe.exe para que en vez de cargar a hola.bmd desde el path que tiene impuesto lo haga desde otro path el cual varía, llamémosle %path, que es recibido desde un combobox que es mostrado al usuario.
El tema es que esta librería tiene más funcionalidades que la que estoy intentando averiguar y tiene errores que generan crash en pepe.exe, es por esta razón que se decidió remover a chau.dll.
Por lo que me llevó a mí a crear un nuevo chau.dll que solo contenga la funcionalidad de modificación de path, pero al no poseer el source de chau.dll y tener escaso conocimiento de asm me resulta imposible saber cómo es que chau.dll hace que pepe.exe use a %path y no al que tiene por defecto.

Lo que pude observar es que chau.dll no modifica offsets vía address de pepe.exe ya que si yo empaqueto a pepe.exe con mew11 sigue funcionando genial a pesar de que hayan cambiado sus offsets  :-\

Les dejo la librería http://www.mediafire.com/?gkp4s7pxtim9do8, pepe.exe lo único que hace es cargar la librería y llamar a la función ENCGames, uno de los path que cambia es "Data\Local\%s\Text.bmd". Espero que puedan darme una mano con esto  ;D

Desde ya, gracias  ;)

Cordiales saludos,
John.
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Comprensión librería .dll + Única función
« Respuesta #1 en: 19 Mayo 2011, 01:12 am »

Hola!

La verdad, me confundí en algún lado de tu explicación...  :-\

Podrías ser mas concreto ?
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

johnburn

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Comprensión librería .dll + Única función
« Respuesta #2 en: 19 Mayo 2011, 01:15 am »

Buenas MCKSys Argentina ;D

Gracias por la pronta respuesta  ;), decime qué parte necesitás más concreta e intento ser más explícito!  ;D

Desde ya, gracias  ;)

Cordiales saludos,
John.
« Última modificación: 19 Mayo 2011, 01:43 am por johnburn » En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Comprensión librería .dll + Única función
« Respuesta #3 en: 24 Mayo 2011, 15:59 pm »

Por lo que veo, la DLL es para proteger alguna especie de juego (MU?).

Dime como se llama el archivo "hola.bmd" asi puedo ver que parte esta cambiando en el EXE...
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

johnburn

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Comprensión librería .dll + Única función
« Respuesta #4 en: 24 Mayo 2011, 16:12 pm »

Así es, es con respecto al juego MU. Creo que tiene protección pero no es de la mejor, fue reemplaza por otra librería con más protección y actualización constante.

hola.bmd podría llegar a ser como el ejemplo que di Text.bmd

Muchas gracias por la pronta respuesta y constante ayuda  ;)

Cordiales saludos,
John.
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Comprensión librería .dll + Única función
« Respuesta #5 en: 24 Mayo 2011, 16:17 pm »

Como proteccion veo que usa la API GetAsyncKeyState para detectar F7 y F8 (teclas usadas en OllyDbg).

Ahora, la funcion que maneja toda la parte de la ventana que dices, esta en 1002170 (ese es el windowproc).

Como te dije por privado, con IDA y Hexrays lo destripas en 2 segundos...  ;)

Saludos!

Agregado

Podrias probar NOPeando el push 0 y el call siguiente de la direccion 100018D0 (ENCGames + 30h). Con eso se "quita" la proteccion antidebug...
« Última modificación: 24 Mayo 2011, 16:26 pm por MCKSys Argentina » En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Comprensión librería .dll + Única función
« Respuesta #6 en: 24 Mayo 2011, 18:45 pm »

MU... hace unas semanas, un brodher se hizo un hack de speed para magdalena, dime que MU intentas hacerle algo?.

Nox
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
johnburn

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Comprensión librería .dll + Única función
« Respuesta #7 en: 24 Mayo 2011, 19:26 pm »

Hola Иōҳ

No sé si estuviste leyendo el post y sus comentarios, pero no estoy intentando hacerle nada a ningún MU, eso fue un comentario aparte que define en qué contexto se encuentra la librería... solamente intento hacer ingeniería inversa sobre una DLL para averiguar y comprender una funcionalidad específica de dicha DLL.

Gracias por la respuesta.

Cordiales saludos,
John.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda con funcion de libreria de funciones u.u
Scripting
FranciskoAsdf 0 2,433 Último mensaje 9 Septiembre 2008, 04:15 am
por FranciskoAsdf
ayuda comprension del codigo
Programación Visual Basic
toods 2 2,061 Último mensaje 20 Agosto 2010, 23:58 pm
por Fitoschido
[HLA] - Error de comprensión « 1 2 »
ASM
criskapunk 12 9,114 Último mensaje 12 Febrero 2012, 17:54 pm
por Eternal Idol
como linkar funcion y libreria ??
GNU/Linux
valen46 0 1,717 Último mensaje 11 Febrero 2014, 14:28 pm
por valen46
Esta función que solo posee Chrome, es la única razón por la que no cambio de...
Noticias
wolfbcn 0 1,574 Último mensaje 21 Junio 2017, 02:07 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines