elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Evitando Olly al cargar
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: Evitando Olly al cargar  (Leído 10,062 veces)
tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: Evitando Olly al cargar
« Respuesta #10 en: 14 Mayo 2012, 03:40 am »

$EDU$ estoy seguro! busca sobre armadillo, muchas versiones la implementan
En línea

Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Re: Evitando Olly al cargar
« Respuesta #11 en: 14 Mayo 2012, 03:45 am »

si hay programas asi ya me toco una ves un crackme asi pero en algun formateo que ledi ami pc se fue.
no cargaba el olly para cuando me marcaba terminate no cerraba el olly finalisaba el crackme  pero entonces como seria reverseado
no me acuerdo si era crackme o malware pero asia eso
por otro lado los malware me atocado hecharles un vistaso y bienen en (los  hechos en vb6) pcode 
En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

TruenoCaos

Desconectado Desconectado

Mensajes: 59



Ver Perfil
Re: Evitando Olly al cargar
« Respuesta #12 en: 14 Mayo 2012, 03:46 am »

Yo me acuerdo de haber leido hace tiempo un articulo que hablaba de esto mas o menos, y lo que hacian (si no lo entendi mal) es un hook a las apis del windows que suelen usar los debuggers, y lo que hacan ahi es no dejar ejecutarlos (se basaban en que primero se ejecuta el programa y luego se ejecuta el debgger) pero puede que una version modificada de esto puede servir:

Por ejemplo la primera vez que se ejecuta deja el hook y no lo libera, o cualquier otra idea
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Evitando Olly al cargar
« Respuesta #13 en: 14 Mayo 2012, 04:16 am »

hey encontre una referencia, hace exactamente lo que mencionaba:

http://pastebin.com/raf7K6AF
En línea

tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: Evitando Olly al cargar
« Respuesta #14 en: 14 Mayo 2012, 04:20 am »

ok! era tlscallback nomás, si revisas tutoriales de unpack de execryptor verás que no es dificil de evitar para los que debugean.
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Evitando Olly al cargar
« Respuesta #15 en: 14 Mayo 2012, 04:23 am »

ok! era tlscallback nomás, si revisas tutoriales de unpack de execryptor verás que no es dificil de evitar para los que debugean.

nomás? xD
pero que más hay? :P
creí que era algo dificil xD
En línea

tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: Evitando Olly al cargar
« Respuesta #16 en: 14 Mayo 2012, 04:32 am »

lo de díficil es siempre dependiendo del cracker (o el que debugea) en mi caso sería imposible saltar el tls pero los que saben lo pasan hasta con los plugins de olly y a mano cambian hasta el oep jeje.
En línea

$Edu$


Desconectado Desconectado

Mensajes: 1.842



Ver Perfil
Re: Evitando Olly al cargar
« Respuesta #17 en: 14 Mayo 2012, 04:38 am »

Pero entonces una cagada el Olly xD o tal vez son todos los debuggers asi.. no se, digo porque pensaba que el olly solamente leia el ejecutable, sin ejecutar nada, traduciendo el codigo maquina a ASM y organizando todo ahi, pero nada de ejecutar. Digo esto porque no puede que pase esto que dicen si no se ejecuta nada, una cosa es leer y otra ejecutar. Es como que me estan diciendo que Papa Noel existe de verdad xD Que alguien me explique por favor xD
En línea

tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: Evitando Olly al cargar
« Respuesta #18 en: 14 Mayo 2012, 04:55 am »

a ver, el olly no ejecuta nada solo, tratando de ser claro te diré que el olly se detiene en el oep porque pone solo un bp en esa dirección, los tls estan antes del oep! si sabes donde comienzan los tls pones un bp y tampoco se ejecutan solos! es que el olly viene por defecto para detenerse en el oep, pero el plugin ollyadvanced le agrega la función para que se detenga en los tls.
Sino analiza el archivo con lordpe por ejemplo y tambien sabras las direccion antes del oep donde estan los tls
En línea

tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: Evitando Olly al cargar
« Respuesta #19 en: 14 Mayo 2012, 05:03 am »

ah y me olvide con el propio olly modificas donde queres que se detenga! en la opción debuggins options > events  hay tres opciones 1) system (para tls por ejemplo) 2(entry point) la más usada y Winmain (se usa en algunos packers)
En línea

Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
olly « 1 2 »
Ingeniería Inversa
jeduardocxp 13 7,161 Último mensaje 10 Marzo 2004, 15:34 pm
por salvaos
olly
Ingeniería Inversa
GliXeN 2 2,294 Último mensaje 1 Julio 2007, 14:28 pm
por Shaddy
run con olly
Ingeniería Inversa
tazzmk 1 2,262 Último mensaje 16 Octubre 2007, 04:56 am
por tena
Evitando el apocalipsis zombi (de los servidores)
Noticias
wolfbcn 0 1,466 Último mensaje 15 Junio 2016, 02:25 am
por wolfbcn
DivxTotaL sigue evitando el bloqueo de las operadoras con el estreno de un ...
Noticias
wolfbcn 0 6,424 Último mensaje 20 Noviembre 2019, 21:28 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines