elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Duda Ollydbg
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Duda Ollydbg  (Leído 7,898 veces)
pintuflas

Desconectado Desconectado

Mensajes: 102


Ver Perfil
Duda Ollydbg
« en: 27 Mayo 2008, 21:50 pm »

Buenas tardes señores, tengo una pregunta en concreto sobre este programa,

mi pregunta es.. ¿Porque valores puedo añadir el JMP para que este pueda hacer un salto en el flujo? Es decir para renombrar la firma de cualquier programa detectable por un antivirus.

Solo deja añadir JMP's en los MOV's que estan de color amarillo?? O puede sustituirse por otro valor ya sea del color que sea y dejarlo funcional?

Por ejemplo si se sustituye por un MOV que no esta de color alguno y añado el salto JMP queda asi



Muchas gracias compis ;)
En línea

Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Duda Ollydbg
« Respuesta #1 en: 27 Mayo 2008, 21:57 pm »

Si empiezas a cambiar instrucciones sin ton ni son te vas a cargar el ejecutable, tienes que saltar donde haya espacio para "crear" una función que haga el mismo efecto que la instrucción/es que substituiste para hacer el salto.

Un Saludo  :)
En línea

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
pintuflas

Desconectado Desconectado

Mensajes: 102


Ver Perfil
Re: Duda Ollydbg
« Respuesta #2 en: 27 Mayo 2008, 22:19 pm »

Vaaaale tengo que saltar en un trozo que me permita saltar, como por ejemplo cuando hay dos MOV's amarillos seguidos, perdona mi incultura sobre este tema, pero es que me he iniciado recientemente al metodo RIT.

Bien, si debo saltar en sitios que me lo permitan, como identifico estos sitios, porque debo saltar en un trozo de codigo en el cual la firma "maligna" este situada alli, no se si me explico xD, que tengo que hacer un salto en la parte que este la firma que detecte el antivirus.

Hasta ahi perfecto, podrias decirme porfavor una forma para saber un espacio donde crear la funcion para saltar de un sitio a otro de la firma sin dañar el ejecutable?

Repito.. muchisimas gracias, haceis un trabajo muy grande y lo que es mejor aun, disfrutais enseñando!!
En línea

Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Duda Ollydbg
« Respuesta #3 en: 27 Mayo 2008, 23:46 pm »

El metodo basicamente seria:

1º En donde este la firma poner un salto hacia una zona de codigo donde no haya ninguna instrucción (NOP's)

2º En esa zona, poner el codigo que se a substituydo anteriormente

3º Saltar otra vez donde pusiste el salto, justo después.

Todo eso lo tienes que hacer mirando de que no cambie nada en el procedimiento, es decir, como si no hubieses cambiado nada, ya que el mínimo fallo puede provocar un error.

Un Saludo  :)
En línea

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
pintuflas

Desconectado Desconectado

Mensajes: 102


Ver Perfil
Re: Duda Ollydbg
« Respuesta #4 en: 27 Mayo 2008, 23:57 pm »

Si si todo eso es lo que hago pero, parece ser que no se puede poner el JMP en cualquier parte de la firma porque sino pasa lo que en la foto, que hago el salto y me salen unos cuantos NOP's debajo.

Mi pregunta es: ¿En que parte de la firma "maligna" tengo que aplicar el JMP, es decir hacer binari copy (copiar por ejemplo 2 lineas de codigo) pegarlo en un espacio NOP, luego en la primera linea que hemos copiado poner el JMP con la nueva direccion hacia donde lo hemos redireccionado, todo esto correcto, pero, ¿como es que cuando intento renombrar el primer punto me sale lo que en la imagen? Es decir que al poner JMP y la nueva direccion de flujo me pone NOP's de mas y me borra la 2ª linea.

No se si me explico xD.

Si hay que buscar un color determinado para poder hacer el cambio de flujo (aplicar el JMP) para que no suceda lo que sucede en la foto y aplique NOP's de mas o el archivo no se dañe.


Muchas gracias ;)
En línea

byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re: Duda Ollydbg
« Respuesta #5 en: 28 Mayo 2008, 12:57 pm »

te pone nops pq marcas rellenar con nops. eso lo hace pq sobran bytes y hay que rellenarlos.
En línea

pintuflas

Desconectado Desconectado

Mensajes: 102


Ver Perfil
Re: Duda Ollydbg
« Respuesta #6 en: 28 Mayo 2008, 14:09 pm »

Entonces en este caso la solucion seria desactivar la opcion de añadir NOP's y podria redireccionar el flujo correctamente a traves de jumps verdad??

Muchas gracias ;)
En línea

xavierote

Desconectado Desconectado

Mensajes: 134


Ver Perfil
Re: Duda Ollydbg
« Respuesta #7 en: 28 Mayo 2008, 14:53 pm »

Estate atento con los SHORT JUMP's, ya que si colocas un JMP que es más largo, necesita más bytes de información y te borrará parte de código.

Cuando el OllyDBG lo rellena con NOP's pueden ser dos cosas, o que hayan menos bytes que antes de colocar el salto, o que hayan más y rellene con nop's la siguiente instrucción.

¡Un saludo!
En línea

pintuflas

Desconectado Desconectado

Mensajes: 102


Ver Perfil
Re: Duda Ollydbg
« Respuesta #8 en: 28 Mayo 2008, 18:19 pm »

Es decir el ejecutable SOLO funcionara cuando no se añadan NOP's de mas verdad?? Quiero decir... que mientras tansolo se modifique la linea de codigo que he hecho el jump todo tiene que ir correctamente, ahora el problema viene cuando salen mas NOP's.

Y hay alguna forma de identificar estos puntos en los que puedo hacer el salto sin dañar el ejecutable??

Enserio merci a todos tios!!
En línea

byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re: Duda Ollydbg
« Respuesta #9 en: 29 Mayo 2008, 01:33 am »

Citar
Y hay alguna forma de identificar estos puntos en los que puedo hacer el salto sin dañar el ejecutable??

enterandote primero de lo que haces.
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Windows 7 duda con ollydbg en RPC y SMB
Bugs y Exploits
RocKHounD 7 4,770 Último mensaje 14 Febrero 2011, 17:39 pm
por RocKHounD
Duda sobre el Ollydbg
Ingeniería Inversa
Ceqka 4 3,642 Último mensaje 17 Junio 2011, 22:41 pm
por .:UND3R:.
Duda log ollydbg: Import Lookup Table outside .idata
Ingeniería Inversa
.:UND3R:. 2 3,018 Último mensaje 17 Agosto 2011, 18:28 pm
por MCKSys Argentina
Duda con OllyDBG y 64 bits?? « 1 2 »
Ingeniería Inversa
..:ALT3RD:.. 12 15,536 Último mensaje 12 Noviembre 2011, 15:37 pm
por _Enko
Duda con OllyDbg 2.01
Ingeniería Inversa
avesudra 5 4,926 Último mensaje 3 Junio 2012, 17:08 pm
por avesudra
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines