Autor
|
Tema: Offsets con el olly (Leído 4,066 veces)
|
Cleantesdeasso
Desconectado
Mensajes: 185
|
Muy buenas. Estaba siguiendo los pasos de un tutorial que encontre en una revista (hack&crack no me acuerdo q numero), habilitar/deshabilitar el regedit. Era solo un ejercicio por asi decirlo, pero al no tener una de las herramientas q utilizaban en dicho paper, decidi q con el olly seria capaz de encontrar los offsets q me hacian falta para completarlo con exito. No obtuve resultados, ya q no fui capaz de encontrar lo q (creo) debia buscar, me lie y no dormi, etc. Ahora por cabezon quiero hacerlo solo con el olly si fuera posible, antes q con el otro soft q usaban en la revista. Mis preguntas: donde miro los offsets? Porq no sale nada en references? No hay una manera de sacar los offsets teniendo las direcciones de memoria? Muchas gracias por leer, y espero q alguien pueda darme un empujon q estoy un poco perdido y fascinado a la vez.
|
|
|
En línea
|
"Que no!! q el hash hay q crakiarlo!!"
|
|
|
Mintaka
Desconectado
Mensajes: 72
|
Hola. Siempre suponiendo que no esté empacado: Cuando cargues el ejecutable en Olly y éste se detenga en el Entry Point, le das a ALT+E y verás los "Executable modules". Tu programa se sitúa siempre en la dirección base 00400000.
Executable modules, item 0 Base=00400000 Size=00483000 (4730880.) Entry=005BED84 <Grrr.start> Name=Grrr File version=5.0.0.123 Path=X:\Archivos de programa\Grrr\Grrr.exe
Lo seleccionas --->botón derecho --->View executable file y ahí te lo saca con offsets (presenta la dirección base a cero). A partir de aquí puedes buscar los bytes que te interesan mediante CTRL+B. Suerte,
Mintaka
|
|
|
En línea
|
Si lloras por no ver el Sol tus lágrimas no te dejarán ver las estrellas.(Tagore)
|
|
|
Cleantesdeasso
Desconectado
Mensajes: 185
|
Gracias Mintaka, el olly es mucho mas complejo de lo q creia. Ahora he sido capaz de ver los datos en hex, supongo q poco me faltara para poder editarlos... Aunque tengo un problema todavia, y es q al modificar el valor en hex de JE ( jump if equal, creo q era, ahora lo miro q esta en la otra makina con la k estoy probando), sigue dandome el mismo problema. Segun tengo entendido, deberia cambiar el valor hex "74", por "eb", para q no salte y pueda correrlo normalmente, pero ya cambie todos los offsets y sigue igual... algun consejo/idea/animo? Gracias de nuevo por contestar, y a ver si con paciencia y saliva soy capaz de reparar esto.
|
|
|
En línea
|
"Que no!! q el hash hay q crakiarlo!!"
|
|
|
MCKSys Argentina
|
Si quieres cambiar el salto, deberías cambiar 74 x 75 (JE x JNE).
Saludos!
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
Cleantesdeasso
Desconectado
Mensajes: 185
|
Oh! Gracias MCKsys, como podras observar no tengo mucha idea de lo k estoy haciendo, pero supongo q como todas las cosas de esta vida, hasta q no desarmas las cosas y vuelves a armarlas, no te enteras de lo k realmente ocurre... 75 se corresponde con JNE, q vendria a ser, jump i f not equal? Y EB (en hex) entonces q siginifica?? Yo creia q ese valor se correspondia con JNE, total, cada vez estoy mas confuso... Gracias por la aclaracion, a ver si ahora pasa algo ( modifike todos los valores 74 por eb, pero ahora q me decis esto, volvere a hacerlo uno por uno e ir probando con 75)
|
|
|
En línea
|
"Que no!! q el hash hay q crakiarlo!!"
|
|
|
bizco
Desconectado
Mensajes: 698
|
EB es jmp, pero jmp N donde N es el numero de bytes.
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
apuromafo CLS
|
eso es para cambiar un salto, tambien es posible aveces forzarlo mas
je a jmp o je a NOP
igual los offset son direcciones, entender que cambiar, es lo que se aprende, te sugiero que leas el curso de ricardonarvaja, cuando termines lee este mismo toppic y creo que tu mismo vas a decir la respuesta.
saludos Apuromafo Cls
|
|
|
En línea
|
Apuromafo
|
|
|
Cleantesdeasso
Desconectado
Mensajes: 185
|
Muchas gracias por vuestra ayuda, se agradece explicaciones tan claras. A ver si saco un poco de tiempo/ganas y continuo con los experimentos, q hay mucha tela q cortar... Salute cumpas!
|
|
|
En línea
|
"Que no!! q el hash hay q crakiarlo!!"
|
|
|
|
|