Autor
|
Tema: Evitando Olly al cargar (Leído 10,030 veces)
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
$EDU$ estoy seguro! busca sobre armadillo, muchas versiones la implementan
|
|
|
En línea
|
|
|
|
Flamer
Desconectado
Mensajes: 1.052
crack, crack y mas crack...
|
si hay programas asi ya me toco una ves un crackme asi pero en algun formateo que ledi ami pc se fue. no cargaba el olly para cuando me marcaba terminate no cerraba el olly finalisaba el crackme pero entonces como seria reverseado no me acuerdo si era crackme o malware pero asia eso por otro lado los malware me atocado hecharles un vistaso y bienen en (los hechos en vb6) pcode
|
|
|
En línea
|
|
|
|
TruenoCaos
Desconectado
Mensajes: 59
|
Yo me acuerdo de haber leido hace tiempo un articulo que hablaba de esto mas o menos, y lo que hacian (si no lo entendi mal) es un hook a las apis del windows que suelen usar los debuggers, y lo que hacan ahi es no dejar ejecutarlos (se basaban en que primero se ejecuta el programa y luego se ejecuta el debgger) pero puede que una version modificada de esto puede servir:
Por ejemplo la primera vez que se ejecuta deja el hook y no lo libera, o cualquier otra idea
|
|
|
En línea
|
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
ok! era tlscallback nomás, si revisas tutoriales de unpack de execryptor verás que no es dificil de evitar para los que debugean.
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
ok! era tlscallback nomás, si revisas tutoriales de unpack de execryptor verás que no es dificil de evitar para los que debugean.
nomás? xD pero que más hay? creí que era algo dificil xD
|
|
|
En línea
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
lo de díficil es siempre dependiendo del cracker (o el que debugea) en mi caso sería imposible saltar el tls pero los que saben lo pasan hasta con los plugins de olly y a mano cambian hasta el oep jeje.
|
|
|
En línea
|
|
|
|
$Edu$
Desconectado
Mensajes: 1.842
|
Pero entonces una cagada el Olly xD o tal vez son todos los debuggers asi.. no se, digo porque pensaba que el olly solamente leia el ejecutable, sin ejecutar nada, traduciendo el codigo maquina a ASM y organizando todo ahi, pero nada de ejecutar. Digo esto porque no puede que pase esto que dicen si no se ejecuta nada, una cosa es leer y otra ejecutar. Es como que me estan diciendo que Papa Noel existe de verdad xD Que alguien me explique por favor xD
|
|
|
En línea
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
a ver, el olly no ejecuta nada solo, tratando de ser claro te diré que el olly se detiene en el oep porque pone solo un bp en esa dirección, los tls estan antes del oep! si sabes donde comienzan los tls pones un bp y tampoco se ejecutan solos! es que el olly viene por defecto para detenerse en el oep, pero el plugin ollyadvanced le agrega la función para que se detenga en los tls. Sino analiza el archivo con lordpe por ejemplo y tambien sabras las direccion antes del oep donde estan los tls
|
|
|
En línea
|
|
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
ah y me olvide con el propio olly modificas donde queres que se detenga! en la opción debuggins options > events hay tres opciones 1) system (para tls por ejemplo) 2(entry point) la más usada y Winmain (se usa en algunos packers)
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
olly
« 1 2 »
Ingeniería Inversa
|
jeduardocxp
|
13
|
7,122
|
10 Marzo 2004, 15:34 pm
por salvaos
|
|
|
olly
Ingeniería Inversa
|
GliXeN
|
2
|
2,282
|
1 Julio 2007, 14:28 pm
por Shaddy
|
|
|
run con olly
Ingeniería Inversa
|
tazzmk
|
1
|
2,254
|
16 Octubre 2007, 04:56 am
por tena
|
|
|
Evitando el apocalipsis zombi (de los servidores)
Noticias
|
wolfbcn
|
0
|
1,460
|
15 Junio 2016, 02:25 am
por wolfbcn
|
|
|
DivxTotaL sigue evitando el bloqueo de las operadoras con el estreno de un ...
Noticias
|
wolfbcn
|
0
|
6,285
|
20 Noviembre 2019, 21:28 pm
por wolfbcn
|
|