elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  DebugBreak y Olly maldita API
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: DebugBreak y Olly maldita API  (Leído 3,419 veces)
neo.nemek

Desconectado Desconectado

Mensajes: 8


Ver Perfil
DebugBreak y Olly maldita API
« en: 4 Mayo 2005, 00:52 am »

Weno toy intentando saltarme esa llamada, al Kernel32.

Uso el olly bajo win 98, porke con win xp, concretamente este programa que quiero debugear, no se inicia con un exe, y solo puedo attacharlo.

En win xp me da error al querer atacharlo, pero win98 me deja.

El problema es bien claro, despues de probar infinidad de plugins etc... para esconder el olly ( incluso empaque el olly como comento Ricardo en un hilo que lei, lo copie renombre y vovli a ponerlo n su sitio etc... ). No me funciona lo de esconder el olly me lo detecta siempre.

Asi que mi recurso es tracear la API y buscar donde le dice al programa, que estoy usando un debugger, y no salte a EXIT.

El frogsice me pone esto cuando attacho el programa:

=> Nmain       
** SOFTICE DETECTION **  code 00, at  0197:BFF768A0     
Interrupt:03h  eax=CFDC1F70h  ebx=006EE128h  ecx=C1646560h
                     edx=BFFC9490h  esi=00000000h  edi=817762E4h  ebp=006EE0DCh

SEH proc address at cs:6B1BD565

Como se puede saltar esta proteccion debugeando la API, ya toy loco llevo 4 dias buscan info, y no veo nada.

Saludos a todos ;-) espero poder ayudaros yo a vosotros otra dia .
En línea

neo.nemek

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: DebugBreak y Olly maldita API
« Respuesta #1 en: 4 Mayo 2005, 00:56 am »

ops editado...
En línea

TaU

Desconectado Desconectado

Mensajes: 184



Ver Perfil
Re: DebugBreak y Olly maldita API
« Respuesta #2 en: 5 Mayo 2005, 11:48 am »

Quizas este texto pueda ayudarte:
http://www.codebreakers-journal.com/viewarticle.php?id=36&layout=abstract

Está muy por encima de mi nivel, asi que a parte de mencionartelo poco más puedo hacer...

Otra cosa, que quieres decir con esto?
Citar
Uso el olly bajo win 98, porke con win xp, concretamente este programa que quiero debugear, no se inicia con un exe, y solo puedo attacharlo.

Que estás debuggeando una .dll? Si es así, yo me encuentro con un problema similar ahora, quiero tracear un plugin que se ejecuta cuando es llamado desde la aplicacion principal y no encuentro la manera de meterlo en el Ollly...

Que quieres decir con 'attacharlo'?


Salu2
En línea

"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres
Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán.
www.wadalbertia.org  -<|¡^P
neo.nemek

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: DebugBreak y Olly maldita API
« Respuesta #3 en: 5 Mayo 2005, 12:04 pm »

Bueno ante todo gracias por tu ayuda, sigo intentando pasar el debugbreak.

Citar
Uso el olly bajo win 98, porke con win xp, concretamente este programa que quiero debugear, no se inicia con un exe, y solo puedo attacharlo.

No se ejecuta con un exe, lo ejecuta un archivo extension NSI, la cual cosa conlleva que no pueda ser cargado directamente, pero cualquier ejecucion una vez en marcha, puede ser cargada desde el olly, haciendo archivo/attach, que la palabra attach ingles/español seria mas o menos agregar

Que estás debuggeando una .dll? Si es así, yo me encuentro con un problema similar ahora, quiero tracear un plugin que se ejecuta cuando es llamado desde la aplicacion principal y no encuentro la manera de meterlo en el Ollly...

Salu2

Las dll las puedes debugear sin problemas con el olly 1.10, lleva un complemente que permite la carga y posterior ejecucion.

Trata de ejecutar primero el programa y llama al plugin, despues con olly carga el plugin de esta manera Archivo/Attach,, y elige el plugin entre los procesos que te mostrara el olly, que son las aplicaciones que estan ejecutandose en el momento que que hagas attach, creo que lo entenderas cuando lo pruebes.

Saludos y gracias.
En línea

TaU

Desconectado Desconectado

Mensajes: 184



Ver Perfil
Re: DebugBreak y Olly maldita API
« Respuesta #4 en: 5 Mayo 2005, 21:59 pm »

Oye, me funcionó a las mil maravillas :D, todo un descubrimiento lo del 'attachment'...

Muchas gracias, y espero que te haya servido el texto ;)


Salu2
En línea

"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres
Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán.
www.wadalbertia.org  -<|¡^P
neo.nemek

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: DebugBreak y Olly maldita API
« Respuesta #5 en: 6 Mayo 2005, 00:09 am »

No se puede "hook" la funcion DebugBreak es un int3, asi que na.

Me instale el win2000 y con los plugins pertinentes la salte, pero como me dijo Narvaja esta mañana por mail, este programa es ring0, asi que con olly nada, tendre que aprender sice.

Saludos.
« Última modificación: 6 Mayo 2005, 00:12 am por neo.nemek » En línea

TaU

Desconectado Desconectado

Mensajes: 184



Ver Perfil
Re: DebugBreak y Olly maldita API
« Respuesta #6 en: 6 Mayo 2005, 00:51 am »

Te agradeceria mucho que si al final lo consigues pusieras (aunque sea muy resumido)  los pasos que has seguido...

Me tienes intrigado :P


Salu2
En línea

"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres
Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán.
www.wadalbertia.org  -<|¡^P
neo.nemek

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: DebugBreak y Olly maldita API
« Respuesta #7 en: 6 Mayo 2005, 00:55 am »

Ta bien,, supongo que tardare unos meses, ya que me voy fuera 5 o 6 semanas.

Si lo consigo ya dire algo.
En línea

tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: DebugBreak y Olly maldita API
« Respuesta #8 en: 21 Agosto 2005, 04:28 am »

Ta bien,, supongo que tardare unos meses, ya que me voy fuera 5 o 6 semanas.

Si lo consigo ya dire algo.

Hola, en win98 yo utilizo el olyghost para esconder el olly
En línea

HaCkZaTaN

Desconectado Desconectado

Mensajes: 109



Ver Perfil
Re: DebugBreak y Olly maldita API
« Respuesta #9 en: 24 Agosto 2005, 08:15 am »

Q tal el HideOlly? y el IsDebuggerPresent?

Salu2!!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Clave maldita en un SSD
Seguridad
pktracing 2 2,577 Último mensaje 1 Enero 2012, 20:51 pm
por pktracing
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines