|
91
|
Programación / Ingeniería Inversa / Re: Ayuda Themida 2.0.3.0
|
en: 4 Junio 2012, 16:13 pm
|
Creo que aun no tienes conocimiento acerca de esto, la versión que yo te mande es una para mortales, como dice Mafo, aun queda la visualización de CISC RISC, que es otro mundo, es muy muy difícil, tienes que pasar algún tiempo aún para que lo puedas intentar.
Saludos, Nox.
|
|
|
93
|
Programación / Ingeniería Inversa / Re: Anti breakpoint?
|
en: 4 Junio 2012, 04:37 am
|
La manera más clásica es usar un algoritmo de comprobación de integridad por ejemplo CRC, si ha cambiado algún byte de la sección código por ejemplo, es decir si se ha seteado un soft breakpoint, será detectado porque las operaciones del algoritmo darán otro resultado.
Este tipo también puede servir para evitar los BPM... si los tomas en cuenta los permisos de las páginas y/o secciones en las operaciones del algoritmo.
Una forma de evitar los soft breakpoints por ejemplo en las apis, es emular parcial o completamente, así cuando se setee un soft breakpoint, nunca parará.
El límite es tu imaginación.
Saludos, Nox.
|
|
|
95
|
Programación / Ingeniería Inversa / Re: Hola a ver si me podéis ayudar con este exe
|
en: 3 Junio 2012, 07:10 am
|
El packer crea secciones virtuales para hacer sus cosillas, lo que te mencionaba es poner un breakpoint en esa api, prueba también con GlobalAlloc o LocalAlloc, igual puedes ir a las nativas osea las de la ntdll que terminan en el mismo por si tienes problemas que pare . Saludos, Nox.
|
|
|
97
|
Programación / Ingeniería Inversa / Re: Duda con OllyDbg 2.01
|
en: 3 Junio 2012, 05:56 am
|
Eso quiere decir que es una variable local, es más fácil recordar LOCAL.X qué EBP-Y, siendo que Y puede ser cualquier número aveces es tedioso.
Los dos serían lo "mismo", es decir LOCAL.1 sería igual a EBP-4, LOCAL.2 sería igual a EBP-8, así consecutivamente dependiendo del caso.
Entonces LOCAL.X es sólo una etiqueta para ayudar al análisis, solo eso, si apretas la barra espaciadora en esa instrucción verás el EBP-Y real.
En OllyDBG 1.10 también se puede configurar con LOCAL.X, yo lo tengo configurado así por las razones ya mencionadas, igual en el OllyDBG 2.X si no me equivoco se puede quita esa opción para que lo veas como EBP-Y.
Saludos, Nox.
|
|
|
98
|
Programación / ASM / Re: [Consulta] Prototipos de funciones para include.
|
en: 3 Junio 2012, 05:17 am
|
En un archivo *.inc declaro los prototipos (si deseas en el principal)
Ejemplo: xChangeValue PROTO :WORD, :BYTE TopXY PROTO :DWORD,:DWORD
Para qué hacer esto? Para poder usar la directiva invoke, solo de esa manera puedo usar
invoke TopXY dwParam1, dwParam2
En un *.asm aparte del principal puedes hacer esto .data [...] .code TopXY proc wDim:DWORD, sDim:DWORD
shr sDim, 1 ; divide screen dimension by 2 shr wDim, 1 ; divide window dimension by 2 mov eax, wDim ; copy window dimension into eax sub sDim, eax ; sub half win dimension from half screen dimension
return sDim
TopXY endp Luego en un el *.inc principal al final lo puedes incluir:
;#### Inserted modules ####
include xtra.asm include SplashScreen.asm include ChanceCell.asm
y listo en el main, lo puedes llamar normalmente sin problemas
Nox.
|
|
|
|
|
|
|