elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


  Mostrar Mensajes
Páginas: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 [16] 17 18 19 20 21 22 23
151  Programación / Ingeniería Inversa / Re: Ayuda para modificar un .exe en: 16 Noviembre 2018, 16:40 pm

¡Hola

abra el programa
seleccione Inglés
arrastrar hacia arriba


https://1drv.ms/u/s!Atrdu75vJCB1h26c54voFqW9O56I

si es upx...

Saludos
152  Programación / Ingeniería Inversa / Re: Themida v2.x Unpack en: 16 Noviembre 2018, 00:56 am
ola

https://1drv.ms/u/s!Atrdu75vJCB1h21lNh97xC4hLXvv

Está en el lenguaje C
Tal vez encuentras funciones.
saludos


info.....


filename: wiatrace.dll
DOS-stub: 232 bytes
built for machine: Intel 80386 processor
  (32-bit-word machine)
Bytes of machine word are not reversed
Relocation info not stripped
Line nunbers not stripped
Local symbols not stripped
Debugging info not stripped
need not copy to swapfile if run from removable media
need not copy to swapfile if run from network
runs on MP or UP machine
working set trimmed normaly
executable file
not a system file
File is a DLL
  do not notify on ProcAttach
  do not notify on ThreadAttach
  do not notify on ProcDetach
  do not notify on ThreadDetach
0 entries in symbol table
5 sections
created (GMT): Fri Oct 30 02:40:18 2015
Linker version: 12.10
.text start:   0x1000, length:  10752 bytes
.data start:   0x4000, length:   4096 bytes
.bss  start:      -/-, length:      0 bytes
execution starts at      0x2310
Preferred load base is 0x10000000
Image size in RAM: 32 KB
Sections aligned to 4096 bytes in RAM, 512 bytes in file
Versions: NT 10.0, Win32 10.0, App 10.0
Checksum: 0x0000b462
uses Win32 graphical subsystem
Stack: 256 KB reserved,   4 KB committed
Heap:  1024 KB reserved,   4 KB committed
Size of headers / offset to sections in file: 0x400

".text" (virt. Size/Address: 0x295f)
   10752 bytes at offset   0x1000 in RAM,    0x400 in file
    contains code
    default alignment (16 bytes)
    is executable
    is readable
    at offset 0x1310: execution start

    at offset 0x2820 (319 bytes): Export Directory
      module name: "wiatrace.dll"
      created (GMT): Fri Oct 30 01:38:31 2015
      version: 0.0
      8 exported functions, list at 3848
      8 exported names, list at 3868
      Ordinal base: 1
      Ord. Hint Name                              RVA
      ---- ---- ----                              ---
         1    0 WIATRACE_DecrementIndentLevel  ‹ÿVÿ5PC
         2    1 WIATRACE_GetIndentLevel        ÿ5PC
         3    2 WIATRACE_GetTraceSettings      ‹ÿU‹ìV‹u…ötÿ5XC
         4    3 WIATRACE_IncrementIndentLevel  ‹ÿVÿ5PC
         5    4 WIATRACE_Init                  
         6    5 WIATRACE_OutputString          ‹ÿU‹ì¸ 
         7    6 WIATRACE_SetTraceSettings      ‹ÿU‹ìÿuÿ5XC
         8    7 WIATRACE_Term                  ÃÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌh€

    at offset 0x1d0 (56 bytes): Debug Directory

    at offset 0x228 (104 bytes): Load Configuration Directory

".data" (virt. Size/Address: 0x364)
     512 bytes at offset   0x4000 in RAM,   0x2e00 in file
    contains initialized data
    default alignment (16 bytes)
    is readable
    is writeable

".idata" (virt. Size/Address: 0x396)
    1024 bytes at offset   0x5000 in RAM,   0x3000 in file
    contains initialized data
    default alignment (16 bytes)
    is readable

    at offset 0x8c (60 bytes): Import Directory

      from "msvcrt.dll":
      not bound
      name table at 0x5128, address table at 0x5060
        hint name
        ---- ----
         362 _except_handler4_common
         488 _initterm           
        1277 malloc             
        1221 free               
         273 _amsg_exit         
         111 _XcptFilter         
         874 _splitpath_s       
         998 _vsnprintf         
        1293 memset             

      from "KERNEL32.dll":
      not bound
      name table at 0x50c8, address table at 0x5000
        hint name
        ---- ----
        1290 SetFilePointerEx   
        1393 TerminateProcess   
         522 GetCurrentProcess   
        1363 SetUnhandledExceptionFilter
        1426 UnhandledExceptionFilter
         758 GetTickCount       
         729 GetSystemTimeAsFileTime
         527 GetCurrentThreadId 
        1078 QueryPerformanceCounter
        1378 Sleep               
        1413 TlsGetValue         
        1412 TlsFree             
        1411 TlsAlloc           
        1414 TlsSetValue         
         594 GetLocalTime       
         340 ExpandEnvironmentStringsA
         611 GetModuleFileNameA 
         523 GetCurrentProcessId
        1468 WaitForSingleObject
        1271 SetEndOfFile       
        1524 WriteFile           
        1176 ReleaseMutex       
         157 CopyFileA           

    at offset 0 (136 bytes): Import Address Table

".rsrc" (virt. Size/Address: 0x3f0)
    1024 bytes at offset   0x6000 in RAM,   0x3400 in file
    contains initialized data
    default alignment (16 bytes)
    is readable

    at offset 0 (1008 bytes): Resource Directory
        version: 0.0, created (GMT): Thu Jan  1 00:00:00 1970
        version info, version: 0.0, created (GMT): Thu Jan  1 00:00:00 1970
            id: 0x1, version: 0.0, created (GMT): Thu Jan  1 00:00:00 1970
                id: 0x409, English (United States), 912 bytes from 0x6060, codepage 0x0000

".reloc" (virt. Size/Address: 0x254)
    1024 bytes at offset   0x7000 in RAM,   0x3800 in file
    contains initialized data
    default alignment (16 bytes)
    can be discarded
    is readable

    at offset 0 (596 bytes): Base Relocation Table
    (relocations skipped)

Version Info:
File Version:    10.0.10586.0
Product Version: 10.0.10586.0
Flags:           (none)
OS:              Win32 on NT
Type:            Exe
- Inglês (Estados Unidos)
  CompanyName     : Microsoft Corporation
  FileDescription : WIA Tracing
  FileVersion     : 10.0.10586.0 (th2_release.151029-1700)
  InternalName    : WIA Tracing
  LegalCopyright  : ¸ Microsoft Corporation. All rights reserved.
  OriginalFilename: WIATRACE.DLL
  ProductName     : Microsoft© Windows© Operating System
  ProductVersion  : 10.0.10586.0
153  Programación / Ingeniería Inversa / Re: Themida v2.x Unpack en: 15 Noviembre 2018, 22:31 pm
Cita de: ByJørGe en 15 Noviembre 2018, 21:11 pm
Hola, no entendi bien lo que me dijo, como descargar de la memoria?

¡Hola

si tienes el programa que usa este dll, puedes hacer dump de la DLL, si este mismo empaquetado, va descomprimir, no se ejecuta, pero puede analizar las funciones estaticamente
154  Programación / Ingeniería Inversa / Re: Themida v2.x Unpack en: 15 Noviembre 2018, 20:55 pm
¡Hola

wiatrace.dll usted puede descargar en la web

También puede descargar de la memoria, para quitar Themida.

saludos
155  Programación / Ingeniería Inversa / Re: Emular HASP SRM en: 12 Noviembre 2018, 16:44 pm
Cita de: CORREOBCG en 12 Noviembre 2018, 03:46 am
Hola! sigo insistiendo con este tema? Sera posible usar el HASP-MultiKey-Emulator con las llaves hasp srm?


¡Hola

puedo ayudar, envíeme un mensaje privado.
156  Programación / Ingeniería Inversa / Re: VM-PROTECT UNPACK en: 7 Noviembre 2018, 05:39 am
Gracias karmany , muy buen tutorial, me ayudó mucho.

---------------------------------------------------------------------------------------------------
La protección VM en mi objetivo esta con las siguientes tablas en el segmento .SVKP1
Export Table;
Import Table;
TLS Table;    
Load Configuration Table;
Import Address Table    
----------------------------------------------------------------------------------------------------
Estoy usando, StrongOD, PhantOm, OllyDumpEx_Od11.

Encuentro nuevo OEP, he volcado con .code y .SVKP0 llenado.

Antes de hacer volcado, observé en la memoria con LordPE, todas las tablas que dice contener en .SVKP1

Entonces el volcado cargado en el Ollydbg con la opción de parar en Entry point of main module,
y en el caso, y esta todo en el lugar exacto!

Creo que era para rodar el programa, ya que esta todo en su lugar, pero creo que para estar todo bien puedo hasta suprimir el segmento .SVKP1, sin embargo, las tablas están todavía en este segmento.


****************
Puedo iniciar el programa, rueda un poco, llama unas CALL, pero luego del error de acceso violado.


Voy a estudiar con máxima fuerza sobre este acceso violado, también observar si en el desalojo nada conrrompe, se necesita recuperar o ajustar algo, como dirección o datos.

Voy a continuar hasta el final

Gracias, saludos




1. Nuevas informaciones


El mensaje de error es
(The address 7030228A is not a valid memory location....)

Esto ocurre en .SVKP0

Se está ejecutando bien el programa, pero en un (ret 0x54), o EIP va a 7030228A e se produce el error.

Bueno, mi teoría de toda memoria de las tablas estar en el mismo lugar, va a rodar ...... esta equivocado !!!!!


Necesito saber una cosa .....

Toda memoria de las tablas esta igual, pero ahora el punto de entrada del programa esta diferente, tal vez eso afecte.

En el mismo tiempo creo que el ret 0x54 es para saltar al punto de entrada de una función, que ahora está perdido.


Voy a pensar y estudiar sobre eso
Toda idea y consejo es bienvenido.

Saludos 2
157  Programación / Ingeniería Inversa / VM-PROTECT UNPACK en: 5 Noviembre 2018, 18:27 pm
¡Hola

¿Cuál es la mayor dificultad para quitar VM?

Puedo desembalar, corregir OEP, se inicia correctamente .... pero luego unoerror de acceso violado.

He hecho muchas investigaciones y prueba, lo que falta es sólo corregir la tabla de importaciones, IAT.

¿Usted me aconseja?

saludos
158  Programación / Ingeniería Inversa / Re: Ayuda para Emular Llave USB de software en: 5 Noviembre 2018, 15:40 pm
Entonces no sólo emular, editar los datos cifrados, porque emular va a continuar para caducar, así como físico.

saludos
159  Programación / Ingeniería Inversa / Hook Library Windows en: 30 Octubre 2018, 16:05 pm
Hola a todos

Voy a iniciar tutorial de cómo hacer gancho "Hook" global.
Global porque todos los programas activos van a estar utizando.
vamos a utilizar la appinit_dll función.

(Sólo básico por el momento)

Para definir qué DLL sera nuestra appinit_dll, editamos en el registro de Windows las siguientes claves.

32-bits HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\

64-bits HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\WindowsNT\CurrentVersion\Windows\

Key "AppInit_DLLs", Ejemplo "C:\AppInitHook.dll"

Esto comprueba en: Module = kernel32.dll, función LoadAppInitDlls.

La DLL se recomienda escribir en C ++, lo básico es:
Código:
BOOL WINAPI DllMain(
    __in HINSTANCE  hInstance,
    __in DWORD      Reason,
    __in LPVOID     Reserved
    )

{        
    switch (Reason)
    {
    case DLL_PROCESS_ATTACH:
       //
        break;
    
	case DLL_THREAD_ATTACH:
		//
		break;

   case DLL_PROCESS_DETACH:
        //
        break;

	case DLL_THREAD_DETACH:
		//
		break;
}

    return TRUE;
}

O sea

Cada vez que una llamada a una función externa de un DLL, el sistema operativo primero ejecutará las funciones de su DLL

Con eso podemos hacer hook, inyecciones, y muchas otras cosas, inyectar desvío de funciones como IsDebuggerPresent y otras técnicas anti-debuggers.

Por ahora solo, quien tiene interés en ese asunto, acompañe y también de ideas y aporte.

saludos
160  Programación / Ingeniería Inversa / Re: Dongle Eutron 3 HID en: 30 Octubre 2018, 15:38 pm
Hola, gracias por la respuesta

Sí, ya he estado todo el foro

En realidad, tengo solución completa de Eutron3, sólo que no HID, tengo dump, no para solucionar el volcado.

Cualquier apoyo es apreciado
Páginas: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 [16] 17 18 19 20 21 22 23
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines