 Autor
|
Tema: Saber de donde es llamada una función VB (Leído 4,013 veces)
|
|
.:UND3R:.
|
Hola a todos, ya ando algo oxidado con visual basic, a ver si alguien me logra dar una mano. Estoy intentando localizar en que lugar se llama una función (esta no es llamada durante el proceso de depuración, pero si sé que se debe llamar una vez cumplida ciertas condiciones), llego a esta típica tabla de saltos: 00409411 . 816C24 04 6B0>SUB DWORD PTR SS:[ESP+0x4],0x6B 00409419 . E9 82870100 JMP N_Regist.00421BA0 0040941E . 816C24 04 A70>SUB DWORD PTR SS:[ESP+0x4],0x1A7 00409426 . E9 B5880100 JMP N_Regist.00421CE0 0040942B . 816C24 04 FFF>SUB DWORD PTR SS:[ESP+0x4],0xFFFF 00409433 . E9 58890100 JMP N_Regist.00421D90 00409438 . 816C24 04 670>SUB DWORD PTR SS:[ESP+0x4],0x67 00409440 . E9 FB8A0100 JMP N_Regist.00421F40 00409445 . 816C24 04 2B0>SUB DWORD PTR SS:[ESP+0x4],0x12B 0040944D . E9 6E8C0100 JMP N_Regist.004220C0 00409452 . 816C24 04 FFF>SUB DWORD PTR SS:[ESP+0x4],0xFFFF 0040945A . E9 A18D0100 JMP N_Regist.00422200 0040945F . 816C24 04 FFF>SUB DWORD PTR SS:[ESP+0x4],0xFFFF 00409467 . E9 54930100 JMP N_Regist.004227C0 0040946C . 816C24 04 270>SUB DWORD PTR SS:[ESP+0x4],0x127 00409474 . E9 779A0100 JMP N_Regist.00422EF0 00409479 . 816C24 04 8B0>SUB DWORD PTR SS:[ESP+0x4],0x18B 00409481 . E9 DA9A0100 JMP N_Regist.00422F60 00409486 . 816C24 04 170>SUB DWORD PTR SS:[ESP+0x4],0x117 0040948E . E9 0D9C0100 JMP N_Regist.004230A0 00409493 . 816C24 04 930>SUB DWORD PTR SS:[ESP+0x4],0x93 0040949B . E9 909C0100 JMP N_Regist.00423130 004094A0 . 816C24 04 8F0>SUB DWORD PTR SS:[ESP+0x4],0x8F 004094A8 . E9 539E0100 JMP N_Regist.00423300 004094AD . 816C24 04 9B0>SUB DWORD PTR SS:[ESP+0x4],0x9B 004094B5 . E9 A69F0100 JMP N_Regist.00423460 004094BA . 816C24 04 FFF>SUB DWORD PTR SS:[ESP+0x4],0xFFFF 004094C2 . E9 89A00100 JMP N_Regist.00423550
¿Qué más viene?, saludos |
|
|
|
|
En línea
|
 Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM) |
|
|
|
MCKSys Argentina
|
Despues de esa tabla de saltos? Los eventos...
Aunque no estoy seguro de entender qué es lo que quieres hacer...
Saludos!
|
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
|
apuromafo CLS
|
pero no es mas facil usar vbdecompiler e intentar encontrarla desde ahi...
|
|
|
|
|
En línea
|
Apuromafo
|
|
|
|
.:UND3R:.
|
Gracias por sus respuestas. Me refería a cómo saber quien llama a una determinada función o método, ya que buscando referencias solo llego a la tabla de jmp y desde ella no logro obtener más referencias (la función no es llamada sin un serial, válido)
Pregunta a parte: ¿En la tabla de jmp de VB, se encuentran solo los eventos o también se encuentran saltos a procedimientos y funciones?. ¿Si no es así habrían distintas tablas?
Saludos
PD: VB decompiler no me entrega tal información :/
|
|
|
|
|
En línea
|
Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
|
|
|
|
apuromafo CLS
|
vb decompiler puedes crear un map, que si es importado, entonces claramente sabrás donde estás analizando vas luego al jmp y ves que comentarios o labels tienes...
que no analize el jmp es una cosa, pero que tenga analizado el donde irá es lo importante... (ahora si no quieres usarlo , entonces busca nuevos tutoriales de visualbasic hay bastantes de coco, hay varios en la lista de cls)
saludos Apuromafo
pd2: lo mejor es que te crees un archivo visual basic y lo analizes al máximo, luego testeas si te quedas con lo de IDA(map) o con el vbdecompiler(o unes ambos)
|
|
|
|
|
En línea
|
Apuromafo
|
|
|
|
MCKSys Argentina
|
Busca esta info: Script IDC para IDA® de Reginal Wong
Disassembling Visual Basic Applications por Sanchit Karve
Visual Basic Image Internal Structure Format por Alex Ionescu
Visual Basic Reversed - A decompiling approach por AndreaGeddon
El IDC te dara mucha info, en particular las event tables... Saludos! |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
|
.:UND3R:.
|
Me pondré al tanto, muchísimas gracias
|
|
|
|
|
En línea
|
Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
|
|
|
Flamer
 Desconectado
Mensajes: 1.052
crack, crack y mas crack...
|
hola under me pregunto los jmp que ves no son los saltos a la IAT es una duda ya que de mi celular no veo el code que subistes...
Fijate lo que el evento le envia y lo que regresa...
O que buscas quieres encontrar el evento o chico malo por desirlo desde la tabla de jmp
Saludos flamer
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
¿Agregar una llamada de una funcion de una .DLL a un archivo PE?
Ingeniería Inversa
|
--<<<@u6u$t0>>>--
|
5
|
4,207
|
7 Marzo 2009, 07:42 am
por Karman
|
|
|
|
llamada a funcion de clase diferente
Programación C/C++
|
ansil
|
3
|
2,358
|
31 Agosto 2010, 14:48 pm
por [L]ord [R]NA
|
|
|
|
¿Es posible saber desde qué dispositivo se hizo una llamada?
Dispositivos Móviles (PDA's, Smartphones, Tablets)
|
parella2
|
1
|
2,307
|
12 Abril 2014, 05:24 am
por Shell Root
|
|
|
funcion en c que pueda ser llamada con parámetros de distintos tipos
« 1 2 »
Programación C/C++
|
etcheverrypablol
|
17
|
7,738
|
16 Marzo 2016, 11:30 am
por MAFUS
|
|
|
|
Llamada a una funcion en un esquema de memoria segmentada
« 1 2 »
Programación C/C++
|
Usuario887
|
13
|
7,417
|
25 Abril 2020, 18:13 pm
por Usuario887
|
 |
