Título: Leer este code sacado de ollydbg Publicado por: Shell Root en 28 Noviembre 2013, 19:47 pm Código: 1 0040105F |. E8 8A000000 CALL <JMP.&user32.GetDlgItemTextA> ; \GetDlgItemTextA Entiendo qué! Linea #1 Es donde se ingresa el valor, en input. Linea #2 Transfiere el dato DWORD PTR DS:[40300C] en EBX Linea #3 Transfiere el dato DWORD PTR DS:[40204B] en EDX Linea #4 Compara EBX con EDX. Lo que quiero saber, es DWORD PTR DS:[40300C] y DWORD PTR DS:[40204B] que resultado tiene? Título: Re: Leer este code sacado de ollydbg Publicado por: ivancea96 en 28 Noviembre 2013, 19:55 pm Es así, no?
Título: Re: Leer este code sacado de ollydbg Publicado por: karmany en 28 Noviembre 2013, 20:12 pm Código: 1 0040105F |. E8 8A000000 CALL <JMP.&user32.GetDlgItemTextA> ; \GetDlgItemTextA Entiendo qué! Linea #1 Es donde se ingresa el valor, en input. Linea #2 Transfiere el dato DWORD PTR DS:[40300C] en EBX Linea #3 Transfiere el dato DWORD PTR DS:[40204B] en EDX Linea #4 Compara EBX con EDX. Lo que quiero saber, es DWORD PTR DS:[40300C] y DWORD PTR DS:[40204B] que resultado tiene? No sé lo que quieres hacer pero si estás intentando ver el resultado de GetDlgItemTex no lo haces bien. Mira, la API GetDlgItemText recupera el texto o título de un control y requiere 4 parámetros: GetDlgItemText(handle del diálogo que contiene el control, identificador del control, espacio -búfer- que tú quieres reservar para recuperar el texto, el tamaño máximo de ese texto); Si quieres analizar una API tienes que analizar los 4 parámetros anteriores, para ver dónde es guardado. Lo que tú dices es correcto excepto eso de Linea #1 Es donde se ingresa el valor, en input. que no sé qué quieres decir. Si quieres que te respondamos deberás poner más código anterior para ver qué hay en 40300c y 40204b. Saludos Título: Re: Leer este code sacado de ollydbg Publicado por: ivancea96 en 28 Noviembre 2013, 20:15 pm Si estás con OllyDBG, podrás hacer un BreackPoint. Entonces, mirar en la memoria, que valores hay.
Título: Re: Leer este code sacado de ollydbg Publicado por: Shell Root en 28 Noviembre 2013, 20:30 pm Explico un poco mejor... Tengo un crackme que resolvi sólo viendo como se comportaba por dentro -tanteo y error-.
Código
La Linea #9 es el condicional que decidirá a donde apunta. Me moví hasta la dirección 00401064 y 0040106A, en donde en tiempo de ejecución me muestra: Código
Lo que no logro entender es, -ya se que contenido tiene :p-, si realmente cuando ingreso 1 se convierte en 31, donde puedo ver que se hace esa "conversión"? Título: Re: Leer este code sacado de ollydbg Publicado por: MCKSys Argentina en 28 Noviembre 2013, 20:35 pm El char "1" tiene el valor ascii 0x31. Cuando escribes un "1" en memoria, lo que escribe es el valor 31 (en hexa).
La conversion esta implicita... :P Saludos! EDIT: Cuando comparas con 38393839, estas comparando con el string "9898" (imagino que conoces el "famoso" valor 989898... no?) Título: Re: Leer este code sacado de ollydbg Publicado por: karmany en 28 Noviembre 2013, 20:38 pm Es muy sencillo, GetDlgItemText obtiene el serial que tú has puesto en el textbox y lo deja en 40300C.
Ese serial se compara con el que hay en [40204B]. Citar Lo que no logro entender es, -ya se que contenido tiene :p-, si realmente cuando ingreso 1 se convierte en 31, donde puedo ver que se hace esa "conversión"? Pulsa con el botón derecho del ratón enMOV EBX,DWORD PTR DS:[40300C] y selecciona Follow in dump > Memory address verás abajo en la ventana de dump esos 313131.. Haz lo mismo con MOV EDX,DWORD PTR DS:[40204B] para ver con qué se compara. Es eso lo que quieres? como bien dice MCKSys Argentina el texto 1 se convierte en 31hex en memoria. Título: Re: Leer este code sacado de ollydbg Publicado por: Shell Root en 28 Noviembre 2013, 20:43 pm Oka entiendo correctamente! :-*
(imagino que conoces el "famoso" valor 989898... no?) Maldición no lo capto!Siempre me ha interesado leer todos los post de MCKSys y de karmany, aunque no los entienda, por ahora... ajjaja :p Título: Re: Leer este code sacado de ollydbg Publicado por: MCKSys Argentina en 28 Noviembre 2013, 20:49 pm 989898 en decimal en F1ACA (fiaca :P) en hexa...
Es el valor "de testeo" usado por Ricardo Narvaja en su introduccion a Olly... ;) Saludos! Título: Re: Leer este code sacado de ollydbg Publicado por: Shell Root en 28 Noviembre 2013, 21:06 pm Ahh si apenas lo lei hoy, ajja lo vi dentro del crackme LECCION 13 HARDCODED 1
Código
|