elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  CrackMe05 by x4uth
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 [4] Ir Abajo Respuesta Imprimir
Autor Tema: CrackMe05 by x4uth  (Leído 10,305 veces)
x4uth

Desconectado Desconectado

Mensajes: 88


Ver Perfil
Re: CrackMe05 by x4uth
« Respuesta #30 en: 30 Agosto 2008, 01:00 am »

La verdad que estoy en condiciones de dar pocos consejos,  :laugh: si acaso lo que comentaba en el post, no poner llamadas a direcciones directas, mejor usar del tipo:

mov eax 400000
add eax, 42456
call eax

Y nada, muy ingeniosa la idea del laberinto, felicidades y gracias

ese es un truco bastante usado en los  packers pero es complicado.

Si se hace para todas las apis haria falta necesariamente un subprograma (tipico packer) que se ejecutara antes q el mio y que creara una sección nueva con esa estructura y redireccionara la IAT hacia alli. (esto es practicamente hacer un packer y requiere muuuuuucho trabajo).

Si se hace a mano solo para las apis que quieres ocultar estas dejando pistas pues en cuanto descubra como funciona una (q no es dificil) puede sacar todas las demas de la misma manera y ya sabe hasta cuales son importantes.

Ambos casos requieren obtener las direcciones de las apis dinamicamente (llamando a GetProcAddress o similar) y ahi ya tiene su punto debil pues pones un bp en GetProcAddress y puedes ver todas las apis ocultas una por una.

De todos modos vere que puedo hacer. (si alguno sabe una manera mas facil de hacerlo q lo diga xD)
« Última modificación: 30 Agosto 2008, 01:51 am por x4uth » En línea

Páginas: 1 2 3 [4] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines