elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  [RESUELTO] Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: [RESUELTO] Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)  (Leído 11,286 veces)
someRandomCode

Desconectado Desconectado

Mensajes: 250



Ver Perfil
[RESUELTO] Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
« en: 15 Noviembre 2014, 17:54 pm »

Hola, muchachos..
Bueno, que mas decir, cuento lo que he hecho.
Cargo el binario, busco las llamadas intermodulares, encuentro que llama a __vbaStrCmp, asique sigo la llamada.
Encuentro lo siguiente:
72A29596  /$  FF7424 08     PUSH DWORD PTR SS:[ARG.2]                ; /Arg3 = crackit2.4027A4
72A2959A  |.  FF7424 08     PUSH DWORD PTR SS:[ARG.1]                ; |Arg2 => [ARG.1]
72A2959E  |.  6A 00         PUSH 0                                   ; |Arg1 = 0
72A295A0  |.  E8 44E6FFFF   CALL __vbaStrComp                        ; \MSVBVM60.__vbaStrComp

Cuando busco en memoria el string que yo entre (prueba) no lo encuentro por ningun lado..
Todas y cada una de esas lineas tienen un breakpoint y en todas y cada una de las lineas lo he buscado.

El desafio se llama "Smartcheck rulez" y es obvio que con Smartcheck seria mas facil (ya de por si te dice que valores se le esta pasando) pero me da por hacerlo solo con Ollydbg, si Smartcheck puede, Olly tambien (supongo, no me peguen muy fuerte que estoy volviendo de a poquito a esto de la ingenieria reversa de codigo ajeno).

La verdad sea dicha, no lei del todo las reglas de la sección, por favor si el thread no esta permitido (nota que no pido la solucion, solo apuntadores) por favor, borrar directamente y avisarme por PM..

O sea, esta pasando los valores como si fuera:
__vbaStrCmp(SS:[ARG.2],SS:[ARG.1],0)
Que seria lo mismo que decir en Visual Basic StrComp(arg2,arg1,CompareMethod.Text); verdad?

Alguien me podria aclarar la mente, por favor? xD
« Última modificación: 30 Agosto 2015, 12:24 pm por someRandomCode » En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
« Respuesta #1 en: 15 Noviembre 2014, 18:09 pm »

Hola!

Las variables que se le pasan a esa función, son las que usa VB internamnete (son tipo variant).
Para ver el string, si miras la direccion donde esta la variable, verás que el primer DWORD tiene el valor 8 (que identifica al tipo de datos sttring).
El 3er DWORD apunta al string.  ;)

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

someRandomCode

Desconectado Desconectado

Mensajes: 250



Ver Perfil
Re: Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
« Respuesta #2 en: 15 Noviembre 2014, 18:11 pm »

Eh ahi el tema, que no ubico como mirarlo >.<
Guia please please :)
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
« Respuesta #3 en: 15 Noviembre 2014, 18:17 pm »

Eh ahi el tema, que no ubico como mirarlo >.<
Guia please please :)

Parado sobre la llamada a la "API", haces un "follow in dump" de los parametros en la ventana del stack. En la ventana de dump, haces "follow dword in dump" y el string aparecerá.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

someRandomCode

Desconectado Desconectado

Mensajes: 250



Ver Perfil
Re: Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
« Respuesta #4 en: 15 Noviembre 2014, 18:22 pm »

Debo de estar haciendo algo mal en el hex dump cuando hago eso caigo en una zona que no tiene cargado nada de nada (00 00 00 00.....00)

Lo que hago es pararme sobre la linea que hace el CALL MSVBVM60.__vbaStrComp, click derecho Follow (tambien esta Follow in dump, pero me tira dos opciones, inmediato y constante, uno me lleva a una zona de memoria que dice "Actualizaciones de Windows" (??) y el otro al ya mencionado sitio vacio cuando les doy en follow dword)

Sera mejor que me vuelva al otro Ollydbg? Queria probar la version nueva con tantas ganas, pero la falta de colores por ejemplo me complica la lectura
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
« Respuesta #5 en: 15 Noviembre 2014, 18:29 pm »

Debo de estar haciendo algo mal en el hex dump cuando hago eso caigo en una zona que no tiene cargado nada de nada (00 00 00 00.....00)

Lo que hago es pararme sobre la linea que hace el CALL MSVBVM60.__vbaStrComp, click derecho Follow (tambien esta Follow in dump, pero me tira dos opciones, inmediato y constante, uno me lleva a una zona de memoria que dice "Actualizaciones de Windows" (??) y el otro al ya mencionado sitio vacio cuando les doy en follow dword)

Sera mejor que me vuelva al otro Ollydbg? Queria probar la version nueva con tantas ganas, pero la falta de colores por ejemplo me complica la lectura

Bueno, no te enojes pero necesitas aprender a usar Ollydbg. (Quizás hacer el curso de ricnar??)

En la ventana de CPU, paras en el CALL a la función. En la ventana de stack haces el "follow in Dump". En la ventana de Dump, hace el "follow Dword in dump" del 3er DWORD.

El resaltado de sintaxis de Olly se configura.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

someRandomCode

Desconectado Desconectado

Mensajes: 250



Ver Perfil
Re: Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
« Respuesta #6 en: 15 Noviembre 2014, 18:39 pm »

Bueno, no te enojes pero necesitas aprender a usar Ollydbg. (Quizás hacer el curso de ricnar??)

En la ventana de CPU, paras en el CALL a la función. En la ventana de stack haces el "follow in Dump". En la ventana de Dump, hace el "follow Dword in dump" del 3er DWORD.

El resaltado de sintaxis de Olly se configura.

Saludos!

No me enojo para nada che, tenes toda la razon del mundo ^_^
Ahora me voy a poner con el tuto de ricnar.. Voy a intentar 10 minutos mas asi y al tuto independientemente de lo que pase..

Si, directamente me voy al curso, habia hecho un delay a ver si encontraba a que te referias pero me atore de nuevo..

Me pare tanto sobre ESP, como EBP, les di click en "follow in dump", despues donde aparecio le di click en "follow dword in dump" pero ninguno de los dos muestra el texto de prueba, sino caracteres unicode :(
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
« Respuesta #7 en: 15 Noviembre 2014, 18:41 pm »

pero ninguno de los dos muestra el texto de prueba, sino caracteres unicode :(

VB usa widechar (UNICODE) internamente.
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

someRandomCode

Desconectado Desconectado

Mensajes: 250



Ver Perfil
Re: Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
« Respuesta #8 en: 15 Noviembre 2014, 19:08 pm »

VB usa widechar (UNICODE) internamente.

Genial, pero pasandolos de UNICODE a ASCII con distintos conversores (dos de los que probe en linea son ek de RapidMonkey y el de ThePcManSite) me dan cosas que nada que ver.. ninguno de los dos valores me da parecido a 'prueba'.. :(

En si, me voy a poner a leer primero y cuando le encuetre un poco mas la vuelta posteo de nuevo, todos los comentarios son bienvenidos en el entre tiempo salvo que sean bardo :) jaja
En línea

tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: Regresando, me atoré (Ollydbg 2.01 + crackit2 de netforce.nl)
« Respuesta #9 en: 15 Noviembre 2014, 22:32 pm »

supongo que es un crackme, ¿lo pódes subir?
En línea

Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Regresando al hacking? que aprendo que sea funny?
Foro Libre
snIPER1 6 2,939 Último mensaje 27 Diciembre 2011, 01:31 am
por jhonatanAsm
{RESUELTO} ¿Cómo redimensiono un jPanel? {RESUELTO} « 1 2 »
Java
|Miguel| 12 11,247 Último mensaje 13 Febrero 2012, 15:11 pm
por |Miguel|
[RESUELTO] No consigo limpiar un JTable... [RESUELTO]
Java
|Miguel| 2 29,950 Último mensaje 12 Febrero 2018, 09:06 am
por shoni_isra
[C/C++] WinAPI -> Sockets, me atore.. (resuelto) « 1 2 »
Programación C/C++
someRandomCode 11 6,348 Último mensaje 25 Septiembre 2016, 18:17 pm
por AlbertoBSD
buenos dias regresando
Foro Libre
xrootvzlax 0 1,465 Último mensaje 9 Noviembre 2014, 16:58 pm
por xrootvzlax
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines