|
Título: OEP Publicado por: Potato en 18 Mayo 2012, 18:58 pm bueno os comento;
EStoy buscando la oep de mi juego y he probado varios metodos pero ninguno se hacerlo bien, o algo raro, la cuestion que he encontrado un tute de marciano mas concretamente OEP obfuscator y stolen bytes y habla de un nuevo metodo (para mi) de buscar el OEP. El metodo consiste en utilizar set condition y poner los valores 00401000 y 00404FFF, y luego dar a trace into. Dice que para en el OEP Pero Edito que lo estaba haciendo mal, he utilizado un programa y me decia que no estaba en el entrypoint y ahora lo pongo y me sale el mismo que el del inicio, o sea que no me sale el entry point, bueno yo voy a seguir buscando pero si me decis algun metodo para VB os lo agradeceria Un saludo a todo el mundo Título: Re: OEP Publicado por: karmany en 18 Mayo 2012, 19:27 pm Para VB en Código Nativo es muy sencillo porque la primera call llamada es:
ThunRTMain Así que en OllyDBG pon un BP/HBP ahí y darás con el OEP enseguida. Un OEP característico de VB6 nativo es este: (OEP = 00401408) Código
Título: Re: OEP Publicado por: Potato en 18 Mayo 2012, 20:09 pm es el primer mensaje que me contentas estoy contentisimo!!!!!!
si estoy tardando tanto en contestar es ....... ...... porque te voy a fallar,,,,, estoy intentando poner un bp en ThunRTMain pero no lo consigo he puesto bp ThunRTMain en la command bar pero no lo reconoce, asi que no se ponerlo, si pongo bpx ThunRTMain me lleva a un sitio con muchos calls pero fuera de C, estoy desorientado, porque he puesto un bp en el primer call pero no avanza nada esta tres lineas abajo. me da verguenza pero como pongo el bp en ThunRTMain Título: Re: OEP Publicado por: karmany en 18 Mayo 2012, 20:12 pm Ejecuta el programa. Pulsa F9.
En el momento que arranque páusalo: F12 Y ahora pon un Hardware Breakpoint en ThunRTMain. Un BP no te valdrá para nada. Y reinicia. Título: Re: OEP Publicado por: Potato en 18 Mayo 2012, 20:30 pm tipeo HE ThunRTMain me dice comando desconocido, "Unknown identifier" lo siento no se ponerlo es la primera vez que veo ThunRTMain, me pondre a estudiarlo enseguida lo siento.
Título: Re: OEP Publicado por: karmany en 18 Mayo 2012, 20:45 pm tipeo HE ThunRTMain me dice comando desconocido, "Unknown identifier" lo siento no se ponerlo es la primera vez que veo ThunRTMain, me pondre a estudiarlo enseguida lo siento. Eso es porque no se ha cargado la librería de Visual Basic. ¿Estás seguro que es un Visual Basic? ¿Qué dice RDG Packer Detector? Título: Re: OEP Publicado por: Potato en 18 Mayo 2012, 20:53 pm Microsoft visual c++ 7.10 Compiler
Nada Detected Espacio en blanco posible Eso en analisis rapido en analisis m-b Compiler microsoft visual c++ Detected chek is debug present posible Título: Re: OEP Publicado por: Potato en 18 Mayo 2012, 21:02 pm he leido en crack latinos que igual lleva alguna proteccion que no detecta el rdg pero no se estoy muy perdido jeje
Título: Re: OEP Publicado por: $Edu$ en 18 Mayo 2012, 21:05 pm C++ es distinto a Visual Basic.
Potato.. siento como que no te has leido el tutorial de Ricardo Narvaja aun y quieres buscar otros tutoriales o andas preguntando eso por lo menos, y estas dando vueltas en vez de hacer lo que te dicen. Título: Re: OEP Publicado por: Potato en 18 Mayo 2012, 21:38 pm ah vale muchas gracias edu, leermelo si y a fondo, pero esta claro que necesito mas lecturas, pero ya dije que las ultimas partes no las he practicado, y ahora estoy con el nuevo porque se
usan otros programas, pero hasta la parte 38 si que le he dado bastante tute, en fin a seguir estudiando. lo siento karmany te he hecho perder el tiempo, pero os prometo que no lo voy a volver a hacer. un saludo a todos. Título: Re: OEP Publicado por: $Edu$ en 18 Mayo 2012, 22:11 pm Tambien te dije en un tema creo que tenias que aprender a programar y conocer distintos lenguajes, asi no te pasa esto y tenes una nocion general de lo que son los programas y como se hacen, para despues entender mejor como crackearlos.
Y leer el tuto a la ligera no aprenderas nada, fijate que hace tiempo que estoy leyendo yo y me falta aun para terminarlo, ya que lo repaso y practico y pregunto y sigo practicando. Tambien me estoy aprendiendo ASM para entender mejor aun como funciona todo. Da ese gran paso para empezar a aprender bien como se debe las cosas y veras que empiezas a entenderle mejor a todo y no es taaan dificil veras. Saludos Título: Re: OEP Publicado por: karmany en 18 Mayo 2012, 22:29 pm ...lo siento karmany te he hecho perder el tiempo, pero os prometo que no lo voy a volver a hacer. un saludo a todos. ¡Qué va! No tienes que pedir perdón por esto. Para eso está un foro, para que los usuarios pregunten sus dudas. Puedes preguntar tranquilamente todas tus dudas. Los demás usuarios te intentarán ayudar u orientar. Me sienta mal que digas "que no lo voy a hacer" porque pienso que no has hecho nada malo y el foro está para preguntar. Por muy tontería que sea, haz tu pregunta, ya que tu duda resolverá la duda de otros que también comienzan. Parece ser que ese programa no está empacado. Es decir, que posiblemente el OEP sea el que aparece cuando cargas el programa en OllyDBG. Título: Re: OEP Publicado por: Potato en 18 Mayo 2012, 22:57 pm leches que sorpresa!!!! me daba verguenza hasta ver lo que habiais puesto!!! en serio Karmany menudo subidon jejejejeje
pues yo me sentia todo culpable, claro al leer eso pues ya me he puesto a investigar..... mi problema creo que es que quiero ir tan rapido que no se puede, pero bueno, en serio muchas gracias. Y en serio estoy aprendiendo muchisimo de verdad pero a todo no llego, yo solo sabia copiar y pegar, y claro todo esto es que parece infinito, y no se que en serio me has alegrado la noche. un saludo muy muy fuerte. Título: Re: OEP Publicado por: Иōҳ en 18 Mayo 2012, 23:12 pm Aquí te vamos a ayudar, tu tranquilo, pero vamos lee con calma que roma no se hizo en un día, yo nunca terminé los tutes de ricardo (no me peguen u.u) me quedé en el tute 33, pero con esas bases que me sentaron pude hacer muchas cosas, todo lo que me encontré por el camino fue ingenio, pero gracias a las bases principales que me sentaros esos 33 tuts que leí.
pd: no sigas mi ejemplo y termina todos los tuts Saludos, Nox. Título: Re: OEP Publicado por: apuromafo CLS en 18 Mayo 2012, 23:41 pm digamos una idea
en que momento uno coloca un Breackpoint? cuando uno tiene cargada la libreria, y si la libreria no esta cargada? funcionará? nooo, por eso te dicen que ejecutes, pero en vez de ir directamente por el..intenta primero ver el lenguaje hecho..digamos que es un visual basic, obviamente luego de cargada la libreria, uno se pone a explorar las llamadas(intermodular call)por el otro lado..llegando a pillar un un 00401400 - FF25 D4104000 jmp near dword ptr ds:[4010D4] ; MSVBVM60.ThunRTMain es solo pillar un VB5!6&VB6ES.DLL en memoria o mirar el stalk para algo similar a eso luego de ese push, viene un call por eso ese tipo de ofuscador o protector lo que intenta es hacer eso, esperar descomprimir un poco el programa y de paso recien descomprimir, a lo largo del tiempo aprenderas un poco a desofuscar o como colocar bp de forma de avanzar el programa a modo que aun no ejecute...o bien al revez, ejecutado dumpeas y revisas donde puede estar la iat, el entrypoint y ciertas cosas relevantes saludos Apuromafo pd:adjunta el enlace de la teoria o del tute o app que estas revisando, aver si te echo un ojo por ahi... aver si es el mismo que piuenso el 630, yo ademas le cree un anexo: http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1392-4complemento%20al%20escrito%20630_llave%20xor_Apuromafo.7zo renombra a 7z y tambien a leer eso ^^ Título: Re: OEP Publicado por: Potato en 19 Mayo 2012, 10:18 am sip que es el mismo jejeje lo que pasa que yo lo encontre por el buscador..... Me he dado cuenta que si no renombro el 7z0 me salen los mismos simbolos que mi juego (sera cuasualidad??? o algo tienen en comun?? ) Y aun me queda un poco grande estos tutes pero oye por lo menos asi se que existen y aprendo cosas nuevas. un saludo compañeros.
Título: Re: OEP Publicado por: Potato en 19 Mayo 2012, 21:14 pm no abro otro post ya sabeis para no acaparar, la cuestion que despues de pasar una grandisima tarde con los tutes de apuromafo ( tengo algunas preguntillas jeje ) me he puesto a investigar ya sabeis mi juego, esta vez lo he pasado por el Peid y me ha salido esto UPolyX v0.5_overlay, por supuesto me he puesto a investigar por el foro y he sacado dos conclusiones, una de ellas terrorifica para mis aspiraciones. os pongo los enlaces:
http://foro.elhacker.net/ingenieria_inversa/como_puedo_desempaquetar_upolyx_v05-t327355.0.html esta ess la que puede tranquilizarme pero la siguiente ya os digo me ha dejado petrificado http://foro.elhacker.net/ingenieria_inversa/upolyx_v05_overlay-t148658.0.html puesto que yo busco archivos cifrados me ha hecho sospechar mucho mucho..... que pensais?????? un saludo compañeros Título: Re: OEP Publicado por: apuromafo CLS en 20 Mayo 2012, 05:16 am para mi upolyx, era una opcion que creo como plugin de PEID, originalmente para hacer un poco mas dificil el unpack de upx, pero, a diferencia de lo que se cree, no solo se podia usar en upx, sino ademas en upack, y asi en otros packers, osea si algunos ya eran dificiles, mas encima que le quitara la signatura (decir que era upx y otras era algo original, )
por ende que ocurria, lo ideal era ir viendo y analizando el entrypoing, esperar la desencripcion y encontrar el EP real, realmente de primera es muy complejo porque uno no sabe leer, pero con el tiempo despues es cosa de F7, bp en access dword, o bien luego en scripting es STI;sto, RTR...y asi inclusive con condicinales cuando cierto registro es igual a algo...si te sale algun dificil de desempacar, y no le pillas el oep, no dudes de mandarme un PM ^^ saludos Cordiales Apuromafo Título: Re: OEP Publicado por: Potato en 20 Mayo 2012, 19:55 pm jeje probare mas adelante que estoy con tus tutoriales, el metodo pushad ya va bien encaminado.Lo malo es cuando no hay jejejejejeje. Mirare los de Ricardo a ver cual me conviene.
Posdata: te mande un PM lo que no se si te llego porque en bandeja de salida no me sale nada. Por cierto los de TRNC tengo muchos problemas no con los primeros pero a partir del 5 si, el quinto lo he resuelto pero el 8 y 9 que va de desempacar llego al OEP despues del pushad y a mi me salen cosas muy raras, lo dumpeo y me da error, le he pasado el petools y me sigue dando error, no se era algo parecido a stolen bytes, o algo raro que se me escapa. Bueno un saludo a todo el mundo Título: Re: OEP Publicado por: Potato en 20 Mayo 2012, 21:02 pm bueno siguiendo con el titulo del tema pero esta vez es en generico. Pues como podeis imaginar me estoy metiendo de lleno con los metodos para hallar las oeps pero tengo un gran problema, tanto en el metodo de las excepciones como el de la primera API usada o una API comun hay que saber diferenciar entre la sección del empacador y la sección real del programa, asi que ya podeis imaginar que yo no se distinguirlo porque por mas que miro pues no se, entonces mi pregunta........ ( no pretendo ser pesado ni nada malo y me cuesta poner este mensaje porque ya me han llegado quejas, pero me dijisteis que preguntara y esta vez creo que es una pregunta tecnica a lo mejor debiera saberlo por mi cuenta pero no lo se todavia ) ....... como se puede diferenciar en el LOG lo que corresponde al empacado y lo que corresponde al programa original???
bueno un saludo a todo el mundo. Título: Re: OEP Publicado por: apuromafo CLS en 21 Mayo 2012, 04:30 am no existe receta perfecta, casi todo va en el tema de sistema operativo en veces,
asi que de a poco a poco, ir aprendiendo , es mas , aveces cuando aprendes a crear hasta un mini PE, vas de a poco comprimiendo y comparando (nspack, asprotect, y otras) Título: Re: OEP Publicado por: Potato en 21 Mayo 2012, 11:11 am jejejeje como dices aprendiendo de a poco a poco (ahora acabo de aprender a subir imagenes asi que decirme si esta bien subida)
(http://img26.imageshack.us/img26/4195/screenshot001viz.jpg) Esto es lo que me sale en los supuestos OEPS, recuerdo haber leido algo en el curso de RN pero ya no me acuerdo donde......, alguien me puede decir porque sale esto?? mientras tanto yo a investigar jeje sino mal recuerdo esto es simplemente una opcion de ver las cosas, lo que pasa que no recuerdo donde cambiarlo, porque ya se porque no funciona, porque tengo que reparar la IAT, jeje, pero si alguien me recuerda como cambiar la vision para verlo normal pues great saludos chicos!!!! JEJEJEJEJEJEJE ya se como _!!! me he puesto revisar todo el tutorial de RN ( brute force) :-) y afortunadamente estaba en el primer capitulo hay que darle a _ANALISIS ----REMOVE ANALYSIS FROM MODULE y todo vuelve a la normalidad jejejejejeje un saludo a todo el mundo..... Título: Re: OEP Publicado por: apuromafo CLS en 21 Mayo 2012, 19:06 pm es mas facil hacer eso con ollydbg2, animo!
Título: Re: OEP Publicado por: Potato en 21 Mayo 2012, 20:44 pm A por el voy!!! por cierto genial tus tutos es que hasta lo de las fotos!!!!! jeje y tambien elhacker.net estoy enganchadisimo jaja
me he debido bajar una version capada porque me estoy volviendo loco..... primero en las apis si le doy tres veces me aparecen millones y segundo y fundamental ni idea de como poner un BP pero ni idea..... asi que a seguir buscando. un saludo compañeros. Por cierto me lo he bajado de aqui http://www.ollydbg.de/version2.html para que lo sepais la version 4 alpha que me imagino que eso es que ta capado. He leido por ahi version beta pero como es ingles jejejeje Para los plugins he sacado el enlace en otra gran web en la de Karmany el enlace es este http://tuts4you.com/download.php?list.94 ahora mirare para el programa jeje. Pues no, debia ser la correcta solo que para poner el nombre a las APIS no deja directo tienes que ir primero al listado de la API. ASi que el enlace de arriba es valido no os quejareis he jaja. Título: Re: OEP Publicado por: apuromafo CLS en 22 Mayo 2012, 00:34 am emm de ollydbg 2 suelo usar una version llamada SND 2.0
te comento, en mis tiempos libres solia participar en un foro ingles llamado Seek And destroy, cuando quise saber que tan bien estaba en cracking intente resolver algunos crackmes y keygenme de entradas de grupos, y realmente fueron terribles, pero algunos me fue bien y otros no, lo que me alegra en si no es el hecho de que te inviten, sino el hecho de saber que uno ya entiende algo mas no se si sabrás ingles, pero te aseguro que cuando pasa el tiempo, es feo ver que herramientas hagan el trabajo que uno con muuucha dificultad aprendio, pero si es de ahorrar tiempo,si que lo hacen asi que animo en todo y espero que en este empezar, no te sea muy dificil sigue como bien decia revisando el mediafire.com/apuromafo en la carpeta de ing inversa, suelen haber muchas cosas aun... Título: Re: OEP Publicado por: Potato en 22 Mayo 2012, 10:11 am poz la busco y la busco pero no hay manera de hallarlo, he encontrado ollysnd y olly2 pero no un ollysnd2.0 jo tratare de buscarlo mejor pero se me agontan las ideas. Quizas el SND sea lo mismo pero como no lo se seguire buscando
Y como siempre tienes razon, el hecho de saber mas es una de las principales motivaciones. Con los magnificos tutes de RN los hallaba siempre y cuando que tuviera el curso delante, pero por mi cuenta nada de nada, en el fondo eran teoria y cosas raras que aprender. Ahora con tus tutes mas los de RN empiezo a entender las cosas, eso no quiere decir que me atreva ya yo solo a enfrentarme a crackes!!! es que llevo tres semanas solo!!!!!!!! y claro yo lo hago pero luego se olvida, bueno no es que se olvide sino que se necesita practica y mas practica, pero cuando lo hago empiezo a entender las cosas, repito empiezo..... o sea que me queda un mundo pero es bonito el mundo que me queda jejejejejeje. Y bueno este empezar no puedo decir que sea facil, todos los empezares son duros unos mas y otros menos, este es de los mas jaja, pero con el hackert.net con los tutos, contigo y con la gente que me ayuda se hace mas agradable. He tenido suerte de caer en esta WEB. Y ya pa terminar jeje, quiero decir que si que a veces hecho en falta que conteste mas gente como el gran NOX y under y bueno todos!!!! pero bueno. Yo os sigo a todos, no en lo que escribis ahora que esto ta muy paradito sino en mensajes anteriores que me pongo a buscar para aprender mas, porque cada pregunta que hago antes de hacerla lo primero es buscar en la web. En fin despues de este rollo y pausa voy a lo mio a buscar ya crackear un saludo a todos!!!!!! Título: Re: OEP Publicado por: apuromafo CLS en 22 Mayo 2012, 19:33 pm oki, dandome un tiempo intentare crear una carpeta de ayuda..quizas despues me de una vuelta, pero primero es lo primero (que este un poco mas estable el disco duro y por otro lado mas estable el internet)
animo!..vas bien despues de pillar el oep el tema siguiente es dumpear, (volcar el proceso), hay plugins de NCR, hay plugins de ollydump, hay tools como LordPE y/o otras, luego viene el tema de revisar que lo dumpeado tenga la informacion necesaria/(digamos que en el comienzo todas las tienen, pero a futuro hay algunos antidump)...luego viene el tema de la iat, (hay algunas directas, otras que nisiquiera las detecta o inclusive otras que matan a las tools por el nombre que tienen, por eso aveces hay que inmunizar hasta las propias tools que servían )... exito en todo, ya vere como seguir comentando mas temas a medida que aparezcan por ejemplo compara desempacar upx, fsg,petite, pecompact versus un molebox, PESPIN, acprotect, upack que tienen otros temas muy diferentes en estructura el concepto de nanomite (excepciones), es un poco mas denso y solo hay como 3 o 4 packers que lo usan, en este caso piensa que el mas comun de escuchar es armadillo, pero aun asi , no deja de ser que existen muchas cosas detras de los packers, que uno cree que no existen (los sdk) saludos cordiales Apuromafo Título: Re: OEP Publicado por: Potato en 22 Mayo 2012, 19:39 pm Resumiendo que aqui tengo para aprender largo rato ;-)
un abrazo APUROMAFO!!!!!! |