|
121
|
Programación / Ingeniería Inversa / Re: Ayuda con Olly. - BPS
|
en: 11 Noviembre 2008, 13:29 pm
|
AmeRiK@nO, gracias por la ayuda que me has prestado, la verdad impagable, intentaste con un olly limipo??, sin plugins ni nada??, sino me temo que tendras que formatear. A menos que alguien sepa bien que le esta pasando.
|
|
|
123
|
Programación / Ingeniería Inversa / Re: Ayuda con armadillo
|
en: 11 Noviembre 2008, 01:45 am
|
Mientras que Shadow responde la pregunta de AmeRiK@nO, posteo mi duda. Este es el principio de mi posible IAT Y este es el fin???? en 00985658 00000000 Porque como tengo mas instrucciones del tipo SFrame.0097F3D6, quiza siga mas para abajo. Saludos y mil gracias por la ayuda
|
|
|
124
|
Programación / Ingeniería Inversa / Re: Ayuda con armadillo
|
en: 10 Noviembre 2008, 19:50 pm
|
Una vez Dumpeado, con el ImpRec, no me encuentra las importaciones, osea la IAT debe estar echa pelota, ahora me surgue una duda, este es mi OEP y esta es la sección a donde me lleva el jump Mi pregunta es, cual call es la que tengo que seguir en el dump para poner el HBP on write???
|
|
|
126
|
Programación / Ingeniería Inversa / Re: Ayuda con armadillo
|
en: 10 Noviembre 2008, 18:55 pm
|
Hay tena!!!! ! soy un idiota, o talvez este saturado de tanto asm, en fin, mil gracias. Ahora, me faltaria encontrar el oep no??? poniendo un BP on acces en la sección text 41000 no??. Saludos y gracias,
|
|
|
127
|
Programación / Ingeniería Inversa / Re: Ayuda con armadillo
|
en: 10 Noviembre 2008, 17:16 pm
|
Bueno, las novedades:
No se porque, pero ahora el segundo proceso se crea antes que olly pare en CreateMutexA, no se que sera. Shadow, si sigo tu metodo, el del CALL R32, me da error de que no puede acceder a la pocicion F5638CF7, que no es redeable, o leeible.
Algun otro metodo???
|
|
|
128
|
Programación / Ingeniería Inversa / Re: Ayuda con armadillo
|
en: 10 Noviembre 2008, 11:55 am
|
Gracias AmeRiK@nO y Shadow, sus respuestas como siempre impecables , les comento los avances. He seguido las instrucciones de AmeRiK@nO, he puesto un BP en CreateMutexA, para evitar que se cree el segundo proceso en la segunda parada de la api, poniendo EAX a 0, el problema es que funciono bien, es mas puse un BP on Access en la sección .code y llege a lo que me parecia el OEP, ya que dos instrucciones mas abajo tenia la api getstartupinfo, el caso es que intente dumpear y el olly se travo, emepzo a ejecutarce una rutina y no andubo mas, es asi como digo, sonara raro pero asi fue. El problema es que ahora eax no vale mas 0 sino BC, AC, B0, etc, nunca 0, pero si lo pongo a 0 tampoco anda ya que queda en running y no arranca el programa. Voy a ver como soluciono este problema y les comento mas resultados. Saludos y gracias.
|
|
|
129
|
Programación / Ingeniería Inversa / Re: Ayuda con armadillo
|
en: 9 Noviembre 2008, 02:14 am
|
Gracias por la respuesta AmeRiK@nO, la aplicacion que me diste dio esta info.
<------- 08-11-2008 23:11:17 ------->
!- Protected Armadillo Protection system (Professional) !- <Protection Options> Debug-Blocker !- <Backup Key Options> Fixed Backup Keys !- <Compression Options> Minimal/Fastest Compression !- <Other Options> !- Version 4.48
Mañana lee los tutos gracias por la ayuda.
|
|
|
130
|
Programación / Ingeniería Inversa / Ayuda con armadillo
|
en: 9 Noviembre 2008, 00:11 am
|
QUe tal gente, el tema es el siguiente, se que armadillo es complejod e atacar, pero me gustaria empezar de una vez jeje.
Tengo un ejecutable, segun el peid Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks. ahora, en el administrador de tareas tengo dos procesos llamados igual, con el nombre de mi ejecutable.
Como procedo??? en el baul de ricardo hay muchisimas teorias, alguno me diria cual es la mas indicada??? gracias.
|
|
|
|
|
|
|