elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  No entiendo la analogía de los STOLEN BYTE de PESPIN
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: No entiendo la analogía de los STOLEN BYTE de PESPIN  (Leído 4,519 veces)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #10 en: 30 Junio 2011, 23:51 pm »

Todo aclarado, explico por si alguien llega a tener la misma duda:

Si abrimos un programa sin empaquetar y nos fijamos en la pila, veremos el siguiente valor 12FFC4

Ahora si abrimos un programa empacado lo más probable es que deba tener la pila más aumentada por así decirlo debido a que ya ha ejecutado operaciones anteriormente pero en este caso de PESPIN permanece 12FFC4 como la primera dirección en la pila, pero el problema surge que si nos fijamos en el stack debajo de esta hay operaciones realizadas de todas formas por lo que podemos apreciar stolen bites:



Por lo que la idea es encontrar el primer stolen bite con esta analogía:
cuando nos encontramos frente a la primera operación esta debería ser:
Citar
PUSH EBP
(por lo general)
por lo que habría que poner un Hadware bp en 12FFC0 y ¿por qué no en 12FFC4?

Debido a que cuando se utiliza un Hadware bp este se detiene en la siguiente operación además en ese instante el push ebp ya estará ejecutado por lo que el principio de la pila apuntará a 12FFC0

No sé si esté bien esta analogía pero así lo logro entender
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.416



Ver Perfil WWW
Re: No entiendo la analogía de los STOLEN BYTE de PESPIN
« Respuesta #11 en: 1 Julio 2011, 00:38 am »

pensemoslo de otra forma entonces

el programa normal es

1
2
3
4
5

el programa con stolen estaras en
4
5
6

luego como se donde comenzo?, pues un bp en acces en 1 o en 2

pero como llego a eso?, normalmente todos comienzan por push ebp, o algun push o similar, luego hay 4 menos y por ahi intentar

en upx, el pushad guarda los registros, el popad los restaura, por eso el metodo sirve, pero si hiciera pushad y nunca popad, no serviria el metodo

el tema delicado ahi es que el valor de comienzo, nisiquiera se hubiera escrito, el segundo si..es solo eso
En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Como puedo identificar los Stolen Bytes ?
Ingeniería Inversa
tena 0 1,184 Último mensaje 20 Agosto 2005, 17:54 pm
por tena
Windows GNU/Linux: Analogia en Particiones
GNU/Linux
9ttnix 2 2,169 Último mensaje 31 Octubre 2011, 13:09 pm
por 9ttnix
ayuda stolen bytes
Ingeniería Inversa
mario86 1 1,489 Último mensaje 22 Abril 2012, 11:03 am
por karmany
Los Stolen Bytes del PELock1.06.d.exe « 1 2 »
Ingeniería Inversa
ViejoMajara 11 4,413 Último mensaje 24 Enero 2015, 17:16 pm
por MCKSys Argentina
constexpr .. alguna analogia que lo explique mas facil ? « 1 2 »
Programación C/C++
digimikeh 11 1,503 Último mensaje 15 Junio 2019, 19:11 pm
por digimikeh
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines