elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  No entiendo la analogía de los STOLEN BYTE de PESPIN
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: No entiendo la analogía de los STOLEN BYTE de PESPIN  (Leído 4,869 veces)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
No entiendo la analogía de los STOLEN BYTE de PESPIN
« en: 29 Junio 2011, 21:40 pm »

Bueno en el tutorial ricardo narvaja explica algo más o menos así:

Citar
Vemos alli que antes de correr el programa, el stack esta en mi maquina en 12ffc4, quiere decir que
si cuando llega al verdadero OEP el stack esta en la misma posicion o sea en 12FFc4, la primera
sentencia que podria ser PUSH EBP se escribira en 12ffc0 justo arriba de esta, asi que busquemos
12FFc0 en el dump y pongamosle un HARDWARE BPX ON WRITE a ver si nos da resultado,
puede que si puede que no, pero el razonamiento es logico.

Por que se escribe justo arriba de la misma? si se supone que el primer comando sería PUSH EBP y en la dirección 12FFc4 si alguien lo explica bien se los agradecería saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.427



Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #1 en: 29 Junio 2011, 21:52 pm »

push ebp, escribe en stack..que direccion? mira el stack , en la maquina de ricardo deberia ser  12FFc4

cuando se detiene en el oep, y no esta en la misma direccion donde ejecutan todos los programas, hay estolen, es para eso..y si coloca el bp en access en la direccion, significa que posiblemente encontrara la primera escritura en ese lugar..

es eso

verifica como se llaman las ventanas en:
http://foro.elhacker.net/ingenieria_inversa/taller_de_cracking_desde_cero_actualizado_27julio2008-t180886.0.html

En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #2 en: 29 Junio 2011, 22:09 pm »

Sigo sin entender osea ricardo cuando llega al falso oep (stolen byte) le marca que está en 12FFc4 (posición de la pila normal) pero si se ve detenidamente se nota que hay stolen byte eso lo entiendo claramente pero mi pregunta es por que busca en 12FFc0 deciendo que ahí se debería ejecutar un push ebp

Gracias por la paciencia
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
_Enko


Desconectado Desconectado

Mensajes: 538



Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #3 en: 29 Junio 2011, 23:52 pm »

dejame adivinar... mh...

despues de que dice que el stolen byte es "push ebp"...

la siguiente instruccion cual es? "mov ebp, esp"?
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #4 en: 30 Junio 2011, 00:04 am »

Así es efectivamente pero no logro entender lo que comenté anteriormente
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #5 en: 30 Junio 2011, 00:12 am »

No entiendo lo de la pila osea si parte en 12FFc4 y cuando encuentro el falso oep está en 12FFc4 quiere decir que anteriormente ya realizó operaciones, eso me queda claro pero el problema surge ahora que por qué empieza a buscar en 12FFc0 siendo que son muchos stolen bytes no entiendo el por qué de buscar ahí
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
_Enko


Desconectado Desconectado

Mensajes: 538



Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #6 en: 30 Junio 2011, 00:15 am »

porque es la entrada normal a un procedimiento
Citar
push ebp
mov ebp, esp
Los enpaquetadores convierten la ejecutable en una rutina para poder ejecutarla.
La entrada a cualquier procedimiento comienza normalmente con
Código:
push ebp
mov ebp, esp
sub esp, SIZEOF(LOCAL VAR)
por eso se puede adivinar cual es la intruccion original en este caso y supongo en muchos otros.


Porque busca alli? Ni idea, en el caso. Pero la idea de conseguir saber cuales son los stolen bytes pasa por encontrar la entrada original de la ejecutable.
Segun el compilador, suelen hacerlo siempre de la misma manera.

Por ejemplo, en este caso, calculo que el programa esta hecho con c++.
« Última modificación: 30 Junio 2011, 00:17 am por _Enko » En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #7 en: 30 Junio 2011, 02:54 am »

Entiendo lo que comentaste pero lo que no entiendo es por que se intenta buscar en 12FFC0 y no más atrás de la pila y no entiendo eso por que los stolen byte son más que uno si fuera uno entendería pero son muchos, Gracias por la paciencia :D
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
_Enko


Desconectado Desconectado

Mensajes: 538



Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #8 en: 30 Junio 2011, 05:35 am »

no me he puesto a desempaquetar programas,  asi que ni idea.

lo unico que se me ocurre es que push ebp, restaria 4 al stack, por eso el stack original comienzaria en -4 despues del push (en esa direccion se encuentra el ret al kernel)
« Última modificación: 30 Junio 2011, 05:41 am por _Enko » En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #9 en: 30 Junio 2011, 22:33 pm »

Pero no se supone que el inicio está justo antes de ejecutar el push ebp y no después que se ejecutó?

osea el programa parte así según mi entender



Push ebp
mov ebp, esp



                                                                                   12FFC4
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Como puedo identificar los Stolen Bytes ?
Ingeniería Inversa
tena 0 1,276 Último mensaje 20 Agosto 2005, 17:54 pm
por tena
Windows GNU/Linux: Analogia en Particiones
GNU/Linux
9ttnix 2 2,342 Último mensaje 31 Octubre 2011, 13:09 pm
por 9ttnix
ayuda stolen bytes
Ingeniería Inversa
mario86 1 1,614 Último mensaje 22 Abril 2012, 11:03 am
por karmany
Los Stolen Bytes del PELock1.06.d.exe « 1 2 »
Ingeniería Inversa
ViejoMajara 11 4,803 Último mensaje 24 Enero 2015, 17:16 pm
por MCKSys Argentina
constexpr .. alguna analogia que lo explique mas facil ? « 1 2 »
Programación C/C++
digimikeh 11 2,024 Último mensaje 15 Junio 2019, 19:11 pm
por digimikeh
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines