elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Duda con 011- OLLY y VISUAL BASIC por COCO
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Duda con 011- OLLY y VISUAL BASIC por COCO  (Leído 3,745 veces)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Duda con 011- OLLY y VISUAL BASIC por COCO
« en: 3 Agosto 2011, 19:57 pm »

Hola a todos, bueno les comento primero que todo no me ha gustado para nada este tutorial ya que tan solo realiza y no explica por eso me surgen dudas ya que no quiero saber el serial (método que explica COCO) si no al contrario, Como se puede saber el serial, mi duda empieza aquí:


Citar
LA PALABRA MAGICA:

Visual Basic 5.0

CALL [EAX+000000A0]
CALL [EDX+000000A0]
CALL [ECX+000000A4]

Visual Basic 6.0

CALL [EAX+000000A0]
CALL [ECX+000000A0]

Bueno entiendo que se debe iniciar el crackme desde ollydbg luego de insertar el ID y serial se debe colocar un BP en CALL [EAX+000000A0] Mi pregunta son:

1)Por qué ahí se debe colocar el bp?
2)Por qué COCO menciona que debe ser el primero que encuentre ollydbg
3)luego de esto pide que se tracee hasta llegar a la API:
.__vbaVarTstEq
Citar
y ahí entrar en ella con f7 hasta llegar al primer push 0 y luego dirigirse a ECX y hacer click derecho y poner "follow in stack"

¿Por qué se almacena ahí (un poco más abajo a donde me lleva ECX), es decir esta API trabaja igual en cualquier crackme que la utilice?

4)si luego de tracear si supuestamente el programa no utiliza .__vbaVarTstEq
debería seguir el serial falso con breakpoint memory on execution?
5)CALL [EAX+000000A0] funciona tanto para VB 5.0 y VB 6.0?

Si me pudieran aclarar eso se los agradecería demasiado Saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Duda con 011- OLLY y VISUAL BASIC por COCO
« Respuesta #1 en: 3 Agosto 2011, 21:23 pm »

1) Bien no soy experto en los Binarios hechos en VB, pero si practicas un poco con ellos te darás cuenta, de que justo antes de que halles el punto caliente, está esa llamada mágica.

Ahora creo que es por la menera que está estructurado el VB, es la respuesta a tu pregunta.

En mis pocas veces que visto VB (una de esas fue el concurso de CrackLatinos, que vi algo de 10 VB), me di cuenta que (no entodas) despues de esa llamada está el menjurge.*

2)Pues creo que así es la estructura del VB

3) La API a usar puede variar, incluse puede usar comparaciones en punto flotantes, u otras, y no solamente APIS

4)Pues si ya tienes el serial falso, y estás en el punto caliente gracias a la llamada mágica tan solo sigues traceando (siempre y cuando estes con la certeza de que ese es el lugar, si no podes usar HBPM on access (ese yo usaría, porque pararía cada vez que queiran acceder al serial puede que lo copien en otro buffer o hagan algo con el).

5)No necesariamente, aveces ni lo encuentras esas llamadas mágicas, haste he logrado encontrar una llamada así:

CALL [ECX+000000A8]


Ahora lamento no darte una explicación tan detallada, pero lo que menciono es lo que me ha pasado durante mis vivencias con VB 5.0, 6.0.


* Yo lo entendí así, te pongo un ejemplo, así como el salto mágico en los packers, como supieron que existía algo así (?), pues al analizar las entradas de la iat,  se dieron cuenta que no todas las entradas son reedireccionadas, si no que el debugger reconoce algunas porque están "intactas",  luego se pusieron a ver porque pasaba eso, apartir de ese pensamiento (es mi conjetura), se dieron cuenta de que había un salto mágico que "elegía" que entrada iba hacer direccionada, ahora porque sucedía esto, pues porque esa es la estructura del packer osea de esa manera fue diseñado.

De igual modo el salto mágico al tú encontrar siempre ese patron, y te dabas cuenta que en muchos VB pasaba lo  mismo, entonces este también era una llamada mágica (es mi pensamiento).

Un Saludo, Nox.

« Última modificación: 3 Agosto 2011, 21:30 pm por Иōҳ » En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Duda con 011- OLLY y VISUAL BASIC por COCO
« Respuesta #2 en: 3 Agosto 2011, 21:40 pm »

Gracias por las respuestas, me has aclarado algunas y las otras me haz dejado una idea general  ;-), bueno de todas formas si alguien pudiera reforzar alguna de las respuestas

Muchas gracias y saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: Duda con 011- OLLY y VISUAL BASIC por COCO
« Respuesta #3 en: 3 Agosto 2011, 23:14 pm »

coco paso por crackedo decenas o centenas de aplicaciones en su tiempo, +orc flavia y otros,  obviamente cada uno crea sus metodos, sugiero sigas leyendo y veas lo mas relevante luego hay uno de lisa y arapunk tambien que hacen referencia, y otros que hablan de puntos magicos en vb

//

actualmente depurar un vb puedes tener muchas formas y con bp puedes guiarte, pero es normal que intentes crear un resumen de parametros y no estar buscando siempre lo mismo

por ejemplo yo en visual basic tengo un programa (dll inline) para vbstrcmp test eq y para el bin tambien...

era de un team Res (aun esta vivo ese team)
esta en mediafire.com/apuromafo

>-este link por si lo quieres checkear
http://www.mediafire.com/?sockyth09ci


saludos Apuromafo
En línea

Apuromafo
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Duda en visual basic « 1 2 »
Programación Visual Basic
Hack-11 10 4,109 Último mensaje 19 Junio 2011, 15:29 pm
por SimP.-
Clase para puertos COM (Coco/Cocus)
Programación Visual Basic
Emanuel2236 1 3,092 Último mensaje 19 Marzo 2013, 22:17 pm
por Danyfirex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines