|
1063
|
Programación / Ingeniería Inversa / Re: opinion
|
en: 13 Junio 2011, 22:10 pm
|
opinion: cuando uno lee las chinchetas hay comentarios interesantes: http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.htmlahi encontraras el curso de ricardo entre algun escrito o enlace de ahi. te sugiero: ->primero analizar, con PID, con exeinfoPE, RDG, y otros (PE scan. aveces puedes saber en que esta compilado, en que proteccion te enfrentas o algun tip curioso) tutoriales hay varios entre guias o apuntes de dongle, mochilas, emulacion hasp y otros hay bastante material, lo que falta es las ganas de aprender, y leer..espero no sea tu caso ricardonarvaja escribio tutoriales, y tambien considera los dongles, favor leerlos y luego revisar denuevo y seguir aqui: http://foro.elhacker.net/ingenieria_inversa/tutoriales_sobre_emulacion_estudio_y_desempacado_de_dongles_mochilas-t328593.0.html
|
|
|
1064
|
Programación / Ingeniería Inversa / Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
|
en: 13 Junio 2011, 22:05 pm
|
abro el depurador y bajo hacia abajo
00478083 FF37 PUSH DWORD PTR DS:[EDI] 00478085 AF SCAS DWORD PTR ES:[EDI] 00478086 EB 09 JMP SHORT unpackme.00478091 00478088 FE0F DEC BYTE PTR DS:[EDI] 0047808A -0F84 7082FCFF JE unpackme.00440300 00478090 57 PUSH EDI 00478091 55 PUSH EBP 00478092 FF53 04 CALL DWORD PTR DS:[EBX+4] 00478095 8906 MOV DWORD PTR DS:[ESI],EAX 00478097 AD LODS DWORD PTR DS:[ESI] 00478098 85C0 TEST EAX,EAX 0047809A ^75 D9 JNZ SHORT unpackme.00478075 0047809C 8BEC MOV EBP,ESP 0047809E C3 RETN
el salto al oep indica que es 440300, una estructura de delphi
la primera entrada indica 00405DC4 -FF25 EC314400 JMP DWORD PTR DS:[4431EC] ; kernel32.GetModuleHandleA
comenzando en el dump
004430EC 00000000 ->004430F0 7C809737 kernel32.GetCurrentThreadId 004430F4 7C92188A ntdll.RtlDeleteCriticalSection 004430F8 7C9110ED ntdll.RtlLeaveCriticalSection 004430FC 7C911005 ntdll.RtlEnterCriticalSection 00443100 7C809FA1 kernel32.InitializeCriticalSection
$+558 >58C72777 comctl32.ImageList_BeginDrag $+55C >58C3C035 comctl32.ImageList_Remove $+560 >58C4129B comctl32.ImageList_DrawEx $+564 >58C491C9 comctl32.ImageList_Draw $+568 >58C42F51 comctl32.ImageList_GetBkColor $+56C >58C3C2B8 comctl32.ImageList_SetBkColor $+570 >58C3D440 comctl32.ImageList_ReplaceIcon $+574 >58C729E3 comctl32.ImageList_Add $+578 >58C3E1C2 comctl32.ImageList_GetImageCount $+57C >58C3BD2E comctl32.ImageList_Destroy $+580 >58C3BB5B comctl32.ImageList_Create $+584 >00000000
|
|
|
1065
|
Programación / Ingeniería Inversa / Re: Intentando pescar un serial
|
en: 13 Junio 2011, 21:58 pm
|
bueno los .net al decompilar se encuentra el codigo en IL, como IL es codigo intermedio se puede interpretar mas facil, pero cuidado hay ofuscadores para .net, hay trucos para .net y mas...pero lo divertido es que es otra forma de analizar
todos o casi todos usan redgate... pero en este caso dis es una forma
y cuidado tambien hay maquinas virtuales para .net como xenocode o otros..
pero no te estreses, por eso decia que es bueno que vayas viendo..como se fue..
1)analizar ->es un .net 2) intentar tutoriales de .net , fishing, no se..en este caso probe un decompilador 3) encontrar resultados interesantes 4) testear y ok..
ese era la idea , mira que he visto muchas personas que dicen gracias , pero luego otra aplicacion cambia 1 byte y no reconocen que es lo mismo... solo que comprimido o mas grande el programa..
por eso es bueno aprender y comentar..asi se aprende mas..
|
|
|
1066
|
Programación / Ingeniería Inversa / Re: Intentando pescar un serial
|
en: 13 Junio 2011, 07:58 am
|
si tan lejos no estoy, lo que pasa es que instale ademas un xp desde cero, y no tengo muchas aplicaciones por falta de internet, ahora intento actualizarme denuevo todo desde cero.. pero mañana(realmente hoy) por ejemplo tengo internet por 1 dia..pero luego..?emm..asi es el ritmo de mi internet, invariante, desapareci como de octubre a enero y asi..esto lo hago por hobbie ^^
saludos Apuromafo CLS
|
|
|
1069
|
Programación / Ingeniería Inversa / Re: Duda tutorial RicardoNarvaja
|
en: 10 Junio 2011, 22:28 pm
|
opcode son para mi la representacion de cierto comando,
hay diferntes opcodes para x86, x64, .net, linux,mac, arm y otros, ahora bien ese es por la plataforma, luego en la forma de compilar, ya menciono MCKSys en visualbasic, pero tambien hay visualbasic.net , que tiene opcodes de IL, o codigo intermedio, no es igual pero mantienen las mismas bases, solo representan un codigo, cuando ya se aprende a depurar y te das cuenta que hay personas que no quedan conformes con los opcodes y intentan virtualizar las cosas, crean MAQUINAS virtuales con nuevos opcodes, luego puedes darte cuenta que el tema de analisis es mucho mas amplio y no es solo conocer el salto, o algo mas, themida por ejemplo usa CISC o RISC, pero bueno hay muchos temas que se aprenden con el tiempo..sigue leyendo y aprendiendo..
, por lo que se ve es que las busquedas por bytes, son para cierto tipo de exes, hay tambien busqueda de comandos como "call offset" o "call constant", tambien hay varias variables que se pueden usar en ollydbg, yo suelo normalmente no buscar mucho y subir y bajar buscando cosas importante en el codigo..
|
|
|
1070
|
Programación / Ingeniería Inversa / Re: Obtener activacion de Extjs Designer
|
en: 10 Junio 2011, 22:23 pm
|
Tengo una duda dime cuales son los nombres exactos yo ahora estoy viendo ExtDesigner-1.1.2-windows-installer.exe
Me dirigí a la página que mensionaste y presioné descargar
el tema delicado no es depurarlo, ya todo lo comento codelive: ExtDesigner-1.0.3_2 esta programado en C++ y QT, por ello es que funciona tanto en Windows como Linux, para debugearlo hay que parchar IsDebuger o utilizar un plugin para olly, las comprobaciones de licencia y el form de registro con usuario y password estan en libion-1.0.3_2.dll, saltarse el login es muy sencillo, apenas es un salto además que utiliza strings de referencia cerca al mismo y para validar la licencia se muestran los strings antes de los call a las funciones de validación, asi que es igual de sencillo activarlo.
Saluos.
realmente debe solamente leer las teorias de ricardo, luego de terminarlo, depurar y activar algun plugin, si no quiere hacerlo manual, y encontrar el salto y el call... animos a quienes comienzan.lo ideal es que no se compliquen con estas cosas, sino mas bien comenzar y comentar avances, asi van mejorando mas.
|
|
|
|
|
|
|