|
1271
|
Programación / Ingeniería Inversa / Re: Llevo toda la noche intentando obtener un .BMP
|
en: 22 Octubre 2008, 04:55 am
|
no se si es cosa mia, pero yo creo que no has probado todo aun
me explico un iso es una imagen previa a grabarse obviamente hay archivos en su interior
es como decir un hola.rar
contiene archivos en su interior
ahora bien, los iconos del iso o del cd normalmente son tomados por los famosos autorun y el famoso icono de ruta que sea establecida
me explico
si le coloco Desktop.ini [.ShellClassInfo] IconFile=%SystemRoot%\system32\SHELL32.dll IconIndex=7
aparecera con un icono de shell32.dll y etc pero en lo concreto dime como editar un exe dentro de un rar o dentro de un iso?
es como ilogico
intenta esto 1)quita todos los archivos de la iso
saca el exe, y usa el process explorer, resturner o otros para verificar el icono de este..
BMP?? como sabes que es bmp y no es .ico? si realmente es el bmp usa un simple paint y punto..
pero aver vamos a lo concreto si cambias , editas , todo genial hasta ahi, luego tomas esos archivos y creas una imagen en formato ISO y listo , de vuelta con eso
ultra iso es una utilidad para emular o sacar los archivos, puede serte util, pero hasta ahi no mas..el otro paso es otra.. ISOBuster si estaban rayados o bien hay alguna particion o bien otra forma grabada que puede estar en el cd..disk at once, track at once.
pero bueno 1) saca los archivos del iso 2) altera el bmp con paint, o bien en el exe involucrado, o autorun involucrado etc.. si no quieres alterar el exe, puedes alterar y crear un loader para el mismo exe y ese icono puede ser usado (avanzado..) 3 vuelve a crear el iso con Nero imagen o otros.. 4) lee denuevo lo que haces
los programas usan recursos, aveces se empan o protegen por lo mismo..dime para que te servira cambiar un icono del programa, si el programa no se iniciara:! por eso debes ser consecuente
es posible alterar el recurso, siempre y cuando el programa este desempacado o bien NO EMPACADO..
saludos y animo
|
|
|
1272
|
Programación / Ingeniería Inversa / Re: Como se sabe??
|
en: 22 Octubre 2008, 04:18 am
|
aver, haz lo siguiente vacia tu papelera.. comprime tu papelera ***si no sabes hacerlo no importa, este paso es solo para explorarlo mas tranquilo*revisa con tu programa y elimina algun destop.ini o algo que caracterize que es una papelera, cosa que quede como carpeta..() asi que haz lo siguiente envialo a virustotal.com (el fichero comprimido) el fichero scvthost.exe tambien en cuanto a lo de recicler yo creo que sale facil eso si te recomiendo hacer 3 movimientos antes 1) comprimir la carpeta para guardar el troyano 2) bajar unlocker (borrar programas inclusive en uso) 3) borrar la carpeta de recicled, con unlocker.. por lo especifico estas en un area de ingenieria inversa, y te comento que es posible encontrar informacion mas especifica siempre y cuando tengas 1) el exe malicioso 2) regedit a disposicion 3) buenos apuntes ahora bien te sugiero que pases tambien por http://www.threatexpert.comy envies el fichero asi sabras a modo global que hace.. se que es un virus porque se copia cada vez al pendrive *yo diria troyano desactiva el autorun y despues habilita los archivos ocultos si no puedes ver los ocultos , has el intento de revivirlos de una u otra forma (google sabe) asi se desactiva el autorun La forma más simple es copiar las siguientes líneas en el bloc de notas y guardarlas con la extensión .REG, por ejemplo noautorun.reg.
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"
A continuación hacer doble click en el fichero noautorun.reg, Windows nos preguntará si estamos seguros de querer agregar esta información al registro, y elegiremos que Sí.
ejemplos en vbs http://www.mediafire.com/download.php?hulmoo0tt7wpara que borres el scvthost.exe y el autorun no te deja ver archivos ocultos y esa paja.. hay herramientas para eso hihackthis y mediafire.com/apuromafo -> troyanos molestosos+solucion? ->RRT.7z y tambien el exefix.reg creeme que el antisxs tambien te puede servir para eso y el antibrontock pero bueno te sugiero a este punto analizar cuanto has intentado y que seguiras haciendo te sugiero comprimirlo, compartirlo y sobre todo, revisar esos servicios gratuitos de virustotal y otros espero te vaya bien, y si necesitas complementar mas cosas , es porque te falta leer un poco mas en el AREA DE SEGURIDAD y no de INGENIERIA INVERsA el area de ingenieria inversa te ayudaria a ver solamente que logra hacer o como funciona, a partir de codigo assembler pero si no manejas el tema aun, comienza con la experiencia de los antivirus y la informacion que te pueden otorgar los servicios como virustotal y lo de threatexpert.com saludos y animate anexos Pasar Antivirus Online http://www.kaspersky.com/sp/virusscannerhttp://www.ewido.net/en/onlinescan/run/http://www.bitdefender-es.com/scan8/ie.htmlhttp://www.pandasoftware.com/activescanhttp://housecall.trendmicro.com/http://us.mcafee.com/root/mfs/default.asphttp://www3.ca.com/securityadvisor/virusinfo/scan.aspxhttp://www.freedom.net/viruscenter/onlineviruscheck.htmlPasar Anti-Espías Online http://www.nanoscan.com/?Lang=eshttp://www.trendmicro.com/spyware-scan/http://www.sunbelt-software.com/dell/scan.cfmhttp://www.spywareguide.com/txt_onlinescan.htmlhttp://www.webroot.com/consumer/products/spysweeper/freescan.html¿Saber si un fichero tiene virus? http://www.virustotal.com/es/indexf.htmlhttp://virusscan.jotti.org/http://www.kaspersky.com/remoteviruschk.htmlhttp://www.fortiguardcenter.com/antivirus/virus_scanner.htmlRecuerda que la mayoría de los antivirus on-line necesitan Java: http://www.java.com/es/download/manual.jsp
|
|
|
1274
|
Programación / Ingeniería Inversa / Re: Como se sabe??
|
en: 20 Octubre 2008, 22:42 pm
|
la historia comenzo de tiempos antiguos , jeje yo tambien quise saber algo asi
te comento que cosas son las mas recomendables 1) maquina virtual como virtual pc o otras 2) sandiebox, asi sabes que bota o que deja en ciertas carpetas 3) paciencia, porque sin esta ,no llegaras a ningun lado
4 ) aprovechar el consejo de paginas con experiencia ejemplo tu programa es un virus 34 de 36 dicen que es virus..COMO NO CREERLE??.. paginas como virustotal.com
ahora bien, si la historia es saber sobre el virus en si, siempre hay que saber de unpacking o ser bien arriesgado con la ingenieria inversa
puesto que hay herramientas que son utiles, hasta cierto punto Piensa, tienes un troyano o virus que es random..ahora esta, pero despues sera uno mas fuerte,.,y luego baja otro y etc..
los regshot y todo eso es bueno, siempre y cuando sepas usarlos.
en lo personal, te sugiero que analizes con olly, mires las referencias y leas que dice a modo global..si te parece una amenaza..(autorun.inf-- hidefiles) puedes suponer que algo se trama..pero muchas veces ni con eso logras ver que hacen ejemplo (los troyanos de MSN..)
ahora el consejo es el de siempre ingenieria inversa desde 0 y leer y leer
aprender un lenguaje y analizar ese lenguaje yo comenze con un MASM y reconoci los masm hice un delphi y lei el delphi.. hice un .net y no me sirvio el olly jeje
bueno..la historia es simple
1)mediafire.com/apuromafo
revisa solo para leer los escritos, sin importar que digan los antvirus
piensa que las amenazas de virus o troyanos aveces influye solo el nombre.. o el packer..
pero en lo global haz esto 1) para saber que es lo ultimo que ha pasado por tu pc regshot y todo eso 2) PARA saber las rutas y todo eso te sugiero el sandiebox.. hay hasta keygen asi que no es de estresarse.. (eso si buscar bien) 3)tener un firewall y/o antivirus decente, para detectar eso o saber cual lo reconoce enviar el exe a virustotal.com por ejemplo..
y animo se sabe, luego de tener experiencia en el tema..solo eso
saludos APuromafo se cuida y espero tu primera impresion del tema
|
|
|
1276
|
Programación / Ingeniería Inversa / Re: emulador hardlock modelo c500
|
en: 20 Septiembre 2008, 18:09 pm
|
emulador hardlock entiende, es dongle, se ha hablado decenas de veces que pasa con los dongles revisa el foro en busca del tema de dongle, mochilas y entenderas no se pueden emular por otros, porque seria crackear por otro no se puede decir como hacerlo, pues seria delito, pues esas herramientas solo son posibles tenerlas 100% full con su llave y emularlas seria solo engañarte tomas la llave y desempacas como un programa comun y corriente, lees lees, practicas cracking desde 0, tomas denuevo el programa lees el tutorial para los dongles y en menos de 1 semana lo haras si estas animado no pidas ni exigas ayuda de otra forma , pues es imposible que alguien no lo haga por dinero, o bien por algo que va fuera de la ley saludos , espero este dato te sirva a seguir o bien a desistir y no mandes pm, porque no respondo temas de dongle por pm.. Solo es un consejo y guia para que no te sientas herido porque nadie responde tu pregunta.. o dime que es ilogico, gastas 200 dolares en una dongle, cobras 1000 por cada llave, viene un cracker y lo hace gratis y pierdes todo.. te imaginas?, bueno, da igual lo que pienses, pero en este caso de dongles, es un tema amplio y muchas veces discutido, basta no mas que te intereses y guies por lo que hay en el foro.. si no, puedes seguir escribiendo y tendrias un no se nad-- lee por mientras esto http://foro.elhacker.net/ingenieria_inversa/iquestno_hay_nada_mas_actual_sobre_mochilas_hasp-t163921.0.html
|
|
|
1277
|
Programación / Ingeniería Inversa / Re: MadCrack: CrackMe v1 by MadAntrax
|
en: 30 Agosto 2008, 21:34 pm
|
mi windows es una variante de suricata con bloqueo de wscript y bat script y autorun.inf sin permisos de crss y algunas mas no existe windows como este, pues esta alterado para mi uso y evitar cualquier troyano desconocido que moleste cuando estoy en estudios
ahora solo comentaba eso, pues solo dedico al cracking o ingenieria inversa unos 3 minutos y despues sigo con mis tareas y trabajos que son larguisimos ahora bien, es un XP sp2
pero de ahi me cambio de S.O para acceder a este.. aunque no lo creas como el pc de Apuromafo no hay..
|
|
|
1278
|
Programación / Programación Visual Basic / Re: Codigo anti-debugging?
|
en: 30 Agosto 2008, 21:07 pm
|
pues llevo mas de 3 años con ollydbg y quien podria resolverte esa pregunta seria RDG max creo que integro como 40 codigos antidebug y es bien buena onda para poder hacer posible ahora bien mis consejos en forma personal no hay proteccion irrompible pero te doy algunas apis de referencia isdebuggerpresent ->solo necesita valer 0 para pasar inadvertido outputdebugstringA como INT ->necesita 0 para pasar inadvertido outputdebugstringA como variable->necesita 1 para pasar inadvertido CreatefileA->necesita un valor ff o diferentes para poder verificar processCRs o variantes para que vea si tiene privilegios para la ejecucion Public Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long Public Declare Function EnumChildWindows Lib "user32" (ByVal hWndParent As Long, ByVal lpEnumFunc As Long, ByVal lParam As Long) As Long Public Declare Function GetWindowText Lib "user32" Alias "GetWindowTextA" (ByVal hwnd As Long, ByVal lpString As String, ByVal cch As Long) As Long Public Declare Function GetClassName Lib "user32" Alias "GetClassNameA" (ByVal hwnd As Long, ByVal lpClassName As String, ByVal nMaxCount As Long) As Long Public Declare Function SendMessage Lib "user32" Alias "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, lParam As Any) As Long las exepciones de int 2e no se ejecutan en windows vista, por eso no es posible crear antidebug con eso, ademas eso es motivo de que no exista muchas variables para impresoras o programas en windows vista etc creo que con la experiencia que tengo con olly pasaria minimo unos 50 antidebug y seria capaz de correrlo por lo tanto te animo a revisar las referencias antidebug saludos en buena Apuromafo
|
|
|
1279
|
Programación / Ingeniería Inversa / Re: MadCrack: CrackMe v1 by MadAntrax
|
en: 30 Agosto 2008, 20:49 pm
|
saludos, creeme que ollydbg encuentra 2 cosas interesantes, antes de comenzar todo
desempacar un upx relativamente y quizas tenga alguna funcion que es comun.., no dare mayor detalle hasta ejecutarlo
ahora consejo para quienes lo vean es un vb que tiene similitud de ser vb-pcode y que usa scripts de vbs
a mi me aparece --------------------------- Proyecto1 --------------------------- Run-time error '429':
ActiveX component can't create object --------------------------- Aceptar --------------------------- eso debe pasar porque quizas hace referencia a un vbs CreateObject("scripting.filesystemobject"
pero bueno, intentare en la semana encontrar un S.O con mas privilegios
Call splet() DoEvents Check_KeyFile() Exit Sub
por lo demas el clsCRC es puro algoritmo de conversiones y todo eso
creo que no tendre tiempo de verlo pero
OpenProcess Process32Next
No es problema para el olly , con plugins saludos Apuromafo y mis felicidades al programador
verde /color;green Shape1.Backcolor = RGB(CInt(crypt("1")), CInt(crypt("344")), CInt(crypt("1")))
rojo /color;red Shape1.Backcolor = RGB(CInt(crypt("344")), CInt(crypt("1")), CInt(crypt("1")))
saludos y creeme que este es solo el primer paso para el metodo 1
aun veo si ese xor sera el metodo 2
pero para el 2 tb influye el Hex(CVar("edoc***" & StrReverse)) If (var_100 = crypt("2@G8***"))
coloque 3 asteriscos ademas..
y aun nisiquiera se ejecuta en mi pc
saludos Apuromafo lo baje hoy sabado 30/08
veamos si mañana lo veo en otro S.O.
espero este mini apunte sea util para quien tenga animos de resolverlo por el metodo 1
|
|
|
1280
|
Programación / Ingeniería Inversa / Re: Problemas con Winlicense
|
en: 30 Agosto 2008, 01:05 am
|
no existe hasta el momento tutoriales inline para winlicence que yo sepa
pero si quieres nullificar una funcion pues dale un ret justo en la dll que importaba o bien dale el valor que necesitaba
ejemplo burdo
call isdebugpresent vas a ver eso y encuentras jmp dword (valor )->apunta a isdebug present
puedes editar el call hacia mov eax,0 y nopear lo que sigue, pero si algo apunta a el jmp dword como que no resulta
intenta mejor en el lugar del jmp dword de la funcion, pues que no funcione, colocandole un ret , o bien cambiandolo hacia algun injerto o codigo creado por ti..
otra cosa podria haber sido
push ebp ,,, ret
y lo cambias en el momento en el push ebp a ret, para localizar de donde ha sido llamado y nopeas cada call que lo indexa
ahora bien, insisto no hay quien te ayude en el tema por ser complejo, tendrias a lo maximo la palabra mucho animo, pero del dicho al hecho mucho trecho
winlicence normalmente tiene estas protecciones antidebug antitrace deteccion de bp VM limitacion de tiempo comprobacion de CRC emulacion de codigo llamadas indirectas y destruccion de codigo (necesitas cargar el modulo de memoria) osea ejecuta el programa en la memoria y no en algun archivo..
etc
insisto, solo intenta en memoria virtual y para mejorar todo, intenta probar parchadores con loaders, y vas probando de a poco si todo el injerto fue bueno
hay tutoriales o manuales para el hadware dependence que tb es otro tema y para reparar o usar el programa fuera de su licencia
ahora bien aparte de terminarlo, revisa en el mismo foro, hay temas de winlicence y creo que ya se hablo un poco del tema las ideas y las partes creativas van en uno mismo
ahora bien la parte mas dificil es reparar un exe en un lenguaje que busca esas secciones que esten en el lugar correcto ejemplo c++ o algun borland o similar..bueno me voy animo en todo .. complementa todo con los foros donde salga info..
se cuida
|
|
|
|
|
|
|