|
374
|
Programación / Ingeniería Inversa / Re: Como se sabe??
|
en: 20 Octubre 2008, 20:20 pm
|
Pues lo podes tracear con OLLYDBG y ver que es lo que hace... Tambien podes usar el FILEMON para ver los archivos al momento de ejecutarlo. Al igual que REGMON para ver si te crea algo en el registro de windows al momento de ejecutarlo.
tambien podes usar REGSHOT creo se llamaba, haces una foto del sistema antes de ejecutar el virus, y despues de ejecutarlo haces otra foto, y despues lo compara y te saca los registros/files que leyo, escribio,etc... Pero aqui tenes que ejecutar el virus asi que yo no lo haria.
Yo no lo haria, pero bueno si te manda tu jefe, bueno jeje...
Este es un tema para APUROMAFO, aver si el se presenta aqui y te puede hechar una mejor mano...
Saludos
|
|
|
375
|
Programación / Ingeniería Inversa / Re: Modificar esto de este programa
|
en: 20 Octubre 2008, 20:09 pm
|
Podes interceptar a la api SetWindowText que te pone el nombre en la barra de titulo de una ventana.
The SetWindowText function changes the text of the specified window's title bar (if it has one). If the specified window is a control, the text of the control is changed.
BOOL SetWindowText(
HWND hWnd, // handle of window or control LPCTSTR lpString // address of string );
Saludos
|
|
|
377
|
Programación / Ingeniería Inversa / Re: Crackeando ConvertXtoDvd 3 By KJD
|
en: 16 Octubre 2008, 21:17 pm
|
Hola Gracias.. Si esta muy bien, me parece como que te faltaron algunas imagenes, por ejemplo algunas direcciones que nombras la busco en las imagenes y no figuran, aunque si se entiende muy bien lo que explicas... Sigue esribiendo....
Saludos tena
|
|
|
378
|
Programación / Ingeniería Inversa / Re: Atacascado con odbg sacando serial programa "Artisteer"
|
en: 10 Octubre 2008, 17:59 pm
|
Sé poner Breakpoints, pro no sé como ponerlo donde dices xD o como buscar "GetDlgItemTextA" En la cmdbar como te dicen ahi abajo, poniendo tal cual "bp GetDlgItemTextA" sin las comillas, o directamente como haces para ir a cualquier direccion ctrl+g y ahi le pones GetDlgItemTextA y luego F2 para colocar el bp. Para que no te detecte con la api IsDebuggerPresent podes usar el plugin OllyAdvanced, o manualmente cuando cargas el prog en el ollydbg ahi nomas te vas a la ventana del dump y haces ctrl+g y escribis ebx+2 y cambias el 1 por un cero. Saludos
|
|
|
379
|
Programación / Ingeniería Inversa / Re: Atacascado con odbg sacando serial programa "Artisteer"
|
en: 10 Octubre 2008, 01:12 am
|
No entiendo lo de que te salta el desinstalador, pero quisas te haya detectado y te saca eso para que se desinstale, nose, bueno..
Aun asi tienes la opcion de Atachear al proceso, el cual lo podes hacer ejecutando el progama ese, y luego te vas al ollydbg y de ahi a File>>Attach y elegis el proceso del programa que estas viendo.
En Ollydbg tambien puedes ver las referencias a las strings, clicleando en la ventana de codigo del ollydgb el boton derecho del mouse y eligiendo Search for >> All referenced text strings, te salen todas las strings y para buscar la que queres nomas con el boton derecho del mouse y elegis Search for Text...
Proba poniendo un bp en GetDlgItemTextA, escribi un serial y dale a activar, si cae en el bp fijate en el buffer que ahi va a meter tu serial trucho, hace follow in dump ahi y marcalo, y ponele un bpm on access para seguirlo y ver que hace con el mismo...
En la imagen veo que estas en el mensaje de error, pues tenes que ver por arriba del codigo que es lo que te hace llegar ahi, tenes que fijarte en los saltos condicionales, por ejemplo justo ahi arriba veo un JLE, que significa que "salta si es menor o igual a", como no salto quiere decir que lo que compara es mayor y te saca el mensaje de error.
Bueno fijate y comenta como te fue...
Saludos tena
|
|
|
|
|
|
|