elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Saltar instrucción molesta...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Saltar instrucción molesta...  (Leído 3,301 veces)
Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
Saltar instrucción molesta...
« en: 31 Marzo 2014, 19:29 pm »

Hola

Desde hace varios años uso el programa Regshot (pero una versión modificada y mejorada para x64 en Ruso de la que se conoce poco), y ...bueno, al darle al botón "comparar" en el programa, este se minimiza y lanza un reporte en una molesta ventana de Internet Explorer (no del navegador por defecto, sino específicamente del IE), además lanza el mismo reporte en el Notepad.exe (no en editor por defecto, sinó el Notepad).

Lo que necesito es, saltar la instrucción que hace que el programa se minimice a la barra de tareas, y también saltar la instrucción que hace ejecutar el IE, la del Notepad la quiero dejar como está, pero es que me molesta mucho que me lo quiera mostrar también en el IE y encima se minimice.

EDITO: Se me olvidaba comentar, que el programa no dispone de ninguna opción para customizar esos aspectos, por eso intento hacerlo a lo bruto.

El problema es que intento examinar el exe y el PEid me dice que no tiene una cabecera PE válida asi que no me da ningún dato del exe, lo he intentado con el PE explorer pero este no soporta x64, así que no puedo daros ninguna información al respecto sobre con que lenguaje fue compilado... de lo que estoy seguro es de que no es un ensamblado .NET porque el Reflector no lo reconoce como tal.

Como no tengo el source de este programa (de esta versión en x64, no la del Regshot de Sourceforge) y la web está muerta pues... solo me queda intentar hacerle ingenieria inversa al archivo.

Si alguien tiene tiempo para orientarme sobre el proceso en el OllyDbg x64 2.01 o mejor aun, si alguien tiene tiempo para encontrar y saltar esas dos instrucciones que me interesan (considero que con los datos proporcionados debe ser cuestion de minutos para un experto)... cualquier info para avanzar, se lo agradeceria mucho.

EDITO 2: El olly no me abre el exe, asi que me recomendaron buscar (al menos para tenerlas localizadas) las instrucciones con el CheatEngine, pero no me vi capaz de encontrar nada, así que luego estuve buscando algún debugger para x64, encontré esto y esto otro pero se distribuyen solo el código fuente, hay que compilarlo y no tengo lo necesario para hacerlo.

EDITO 3: Ahora me estoy descargando por torrent el IDa Pro y el W32DASM x64 (que pesa lo suyo) que se supone que soportan un binario x64... ya veremos si consigo algo con esto.

EDITO 4: Con el IDA Pro encuentro la instrucción del IE pero ninguno de los que hemos estado investigando el modo de cambiar el opcode o noopear hemos conseguido hacerlo xD, es un programa complejo, en fin, que no se diga que no lo he intentado.

El EXE: http://www.mediafire.com/download/12ac3ep47w24mhs/Regshot.rar

Saludos!
« Última modificación: 1 Abril 2014, 05:21 am por Eleкtro » En línea



MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Saltar instrucción molesta...
« Respuesta #1 en: 1 Abril 2014, 02:16 am »

Sin la ejecucion del IE: multiupload

PD: Para depurar, usé nanomite: nanomite

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: Saltar instrucción molesta...
« Respuesta #2 en: 1 Abril 2014, 02:33 am »

jajajaaa y no llegué...! recién pude hacer andar de manera coherente el edb en linux, igual ya pruebo a ver si me corre bien el nanomite como el olly en wine; gracias por la info MCKSys, saludos
En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
Re: Saltar instrucción molesta...
« Respuesta #3 en: 1 Abril 2014, 03:58 am »

Sin la ejecucion del IE: multiupload

Muchas gracias por tu tiempo, ¿pero sería mucho pedir que explicases como pudiste encontrar la instrucción?, ahora debo buscar la instrucción donde se minimiza el programa y seguramente esté cerca de la dirección que hayas manipulado... ¿podrias indicarmelo? :P

Un saludo y gracias a los dos!
En línea



MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Saltar instrucción molesta...
« Respuesta #4 en: 1 Abril 2014, 04:12 am »

¿pero sería mucho pedir que explicases como pudiste encontrar la instrucción?

Abrí el EXE con IDA, busqué el string con el que ejecuta el notepad y me fijé las funciones que llaman a esa.

Después usé nanomite para debugear y encontrar el lugar a parchear, haciendo algunas pruebas (no tengo mucha experiencia en X64  :P ).

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Saltar instrucción [OllyDbg] « 1 2 »
Ingeniería Inversa
TomaSs 11 6,743 Último mensaje 12 Junio 2012, 15:09 pm
por apuromafo CLS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines