|
241
|
Programación / Ingeniería Inversa / Re: Ayuda con armadillo
|
en: 12 Noviembre 2008, 16:28 pm
|
Bueno, realmente no se si lo llegaste a desempacar del todo bien, puesto que si te desordenó la IAT, y utilizaste el script sólamente con el salto, es posible que olvidases que suelen utilizar GetTickCount para calcular el tiempo que tarda desde que mete la API hasta que se guarda, y al aver un bp ese tiempo ya no es el mismo, así que probablemente deberías tener en cuenta eso, el JBE debajo del GetTickCount.
Te recomiendo un tute de AbsshA, en el webstorage de Ricardo en Concursos 2008 el concurso 1 nivel 4 sino me equivoco donde desempaca el "VideoRedo", ahí tienes un script facilón.
Y también estaría bien que si te rompe la IAT que la cambies de sección, ésto lo hace muy bien el arminline, y además, te las pone en su sitio.
Salu2..
|
|
|
243
|
Programación / Ingeniería Inversa / Re: Ayuda con Olly. - BPS
|
en: 11 Noviembre 2008, 19:58 pm
|
Bueno, jajaja, probablemente te paso algo parecido a lo que ami me pasaba. Aunque dudo que tu utilices un portátil.
Yo en el portátil que utilizo tengo una utilidad que se llama "fingernav" que con tus huellas dactilares de cada dedo puedes configurar para hacer una función. Y se activaba o desactivaba con F8. Así que cuando quería trazar se activaba la función.
Así que para probar que pasa, primero intenta hacer una traza normal desde Debug - Step Into o Debug - Step Over, y ver si funciona. Si funciona quiere decir que un programa externo captura ese F8 o ese F7 y no deja que OllyDBG lo reciba.
Salu2..
|
|
|
244
|
Programación / Ingeniería Inversa / Re: Ayuda con armadillo
|
en: 11 Noviembre 2008, 19:51 pm
|
En cuanto a Americano, si si, ese es el OEP, porque lo he visto en los últimos armadillos y he desempaquetado alguno con ese OEP. Y no son como los de verdad XD.
En cuanto a KJD XD, si, esa es la tabla, las librerías efectivamente se separaran con un DWORD "00", y como ahí no tienes IAT scramble pues la tienes más o menos fácil.
Para saber el largo es mejor que clickees 2 veces en el margen de las direcciones desde el punto de inicio para qu ete diga el final ej:
$+F79 -> Ultima api (buena o tirada)
Salu2...
|
|
|
246
|
Programación / Ingeniería Inversa / Re: Modificar esto de este programa
|
en: 10 Noviembre 2008, 09:04 am
|
Bueno te informo, quiero cambiar el nombre del team viewer y del daemon quiero cambiarle el nombre.
Lo que quiero es que me haga una guia de como llegar hasta hay y modificarlo y que no de error de win32.
gracias
Bien, pero cuando dices nombre, te refieres al Nombre de la VENTANA, no?, porque me dices el nombre puede ser el nombre del .exe de cualquier cosa, joer maxo te digo ponme mas de 1 frase, y me pones 1 linea y media. Ala ala, se nota que hay ganas eh? Por cierto, para que quieres todo esto, al caso? Salu2...
|
|
|
249
|
Programación / Ingeniería Inversa / Re: ayuda con -ExeCryptor v2.1, themida y winlicense-
|
en: 9 Noviembre 2008, 23:06 pm
|
tengo una consulta sumamente urgente cuando utilizo themida y cuando le pongo protec se me va osea se cierra el programa no se que pasa alguien me ayuda porfavor
Si cuando lo ejecutas se cierra "repentinamente", puede pasar, o bien que lo abras en una VMware y te lo detecte, que haya generado un error y se cierre automáticamente, o que tengas una versión que no funciona correctamente. En cualquiera de los casos puedes probar, o bien a buscar una nueva versión, o diferente sitio de donde lo descargaste, o bien ponerte en contacto con el soporte técnico del producto. Salu2...
|
|
|
250
|
Programación / Ingeniería Inversa / Re: Ayuda con armadillo
|
en: 9 Noviembre 2008, 16:38 pm
|
jajaj si bueno, en OllyDBG puedes hacer una búsqueda de un:
call r32
ésto dará todos los resultados de los registros de "32 Bits" (EAX, EBX, ECX, etc), de la misma manera también puedes buscar.
mov eax, r8
etc.
También, imagina que llegas del CreateThread, y eres un vagoo como yo que no le apetece buscar el call r32. Entonces le das a CTRL + T (Run Trace options) y pones que tracee hasta encontrar una instruccion de las siguientes, y pones.
call r32, le das a CTRL+F12 (TRACE OVER), para que no te entre en las DLL y listo.
Salu2...
|
|
|
|
|
|
|