últimos mensajes de: ThunderCls

Mostrar Mensajes
Páginas: 1 ... 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 [36] 37 38 39 40 41 42 43 44 45 46 47

351	Programación / Ingeniería Inversa / Re: Crackme 05 consola obfuscado	en: 24 Octubre 2011, 22:10 pm
Por parte de la ofuscacion ha estado bueno, bastante "basura" en medio del camino para despistar y dificultar el traceo. Por parte del serial, como bien dices...es tan sencillo como: serial + 1 = 45AC34BE serial = 45AC34BE - 1 serial = 45AC34BD Saludos PD: Si con ese nivel de ofuscacion se le agrega un algoritmo de registro mas trabajado, el crackme seria mucho mas duro.

352	Programación / Ingeniería Inversa / Re: [CRACKME] Crackme 3 por MCKSys Argentina	en: 24 Octubre 2011, 16:19 pm
Pues si, la verdad que ha estado curioso lo de bindear la VM de VB6 en el ejecutable, de esta forma se desconcerta bastante al cracker y al debugger/analizer...buena esa!!! Por otra parte creo que debes haber pasado mas tiempo haciendo esto que el algoritmo de registro en si, pues una vez que puedes "arreglar" el asunto de las referencias de funciones ya se ve todo mucho mas claro (Depurar VB me vuelve loco...imaginate sin tener los nombres de referencias de funciones!!!) y se saca el serial correcto sin mucho problema, pues el algoritmo es bien sencillo Igual ha estado interesante el crackme, felicitaciones MKSys, ahhh...y esperamos ese tute Nombre: [ Thunder \| CLS ] Codigo: 2CEF3ACBC267D3FC Keygen: http://www.mediafire.com/file/2vka2e1w2ba0153/Keygen.Solucion.Crackme03.MCKSys.rar Saludos

353	Programación / Programación C/C++ / Re: ayuda→traducir de VB 6.0 a C++	en: 21 Octubre 2011, 16:51 pm
Hola Has intentado con esto? www.vbto.net

354	Programación / Ingeniería Inversa / Re: No puedo ejecutar con OllyDBG	en: 19 Septiembre 2011, 19:08 pm
Cita de: NuevoProg en 19 Septiembre 2011, 18:39 pm Lo he analizado con el PeID y lo unico que he descubierto es: Detected: Microsoft Visual C++ 7.0 Entropy: 7.04(Packed) EP Check: Not Packed Fast Check: Not Packed. ¿Qué debería hacer ahora? porque sigo sin saber como está empacado. Edito: He intentado abrirlo también con el OllyShadow pero me sale lo mismo. Gracias por ayudarme de antemano. Dije que lo era lo mas probable que estuviera empacado, pero no dije que era seguro...igual para salir de dudas pasale el RDG Packer Detector para que compares resultados. Si al final ambos identificadores te sacan lo mismo (Microsoft Visual C++ 7.0) entonces tendrias que empezar a depurar con Olly y encontrar las zonas y los metodos de deteccion que usa la aplicacion para poder anularlos a mano o con plugins. Puedes usar como referencia algunos tutes de aqui: http://ricardonarvaja.info/WEB/buscador.php Solo usa como texto a buscar: "anti" y te saldran 52 archivos y tutoriales al respecto Suerte

355	Programación / Ingeniería Inversa / Re: No puedo ejecutar con OllyDBG	en: 19 Septiembre 2011, 17:26 pm
Cita de: NuevoProg en 19 Septiembre 2011, 14:46 pm No no se trata de Themida jeje. Es un programa real, pues he decidido hacer prácticas con programas reales para ver si se asemejan algo a los tutoriales. He probado las opciones que me diste pero sigue saltándome el mismo error. Éste es el programa que quiero probar: https://www.opendrive.com/files/43716416_0YIM8_1b12/GuAI%202.67.rar Espero poder abrirlo hoy, jejeje. A lo que se refiere Høl¥ es a que puede estar empacado con Themida tu programa, de ahi que te detecte el Dbg, igual puede ser otro packer/protector. Pasale primero un identificador de PE y luego que verifiques el tipo de proteccion que tiene, (pues lo mas probable es que este empacado) ya podras ver como entrarle con algun tute de referencia.

356	Programación / Ingeniería Inversa / ODBGPluginConv v0.1b by Thunder	en: 18 Septiembre 2011, 18:58 pm
Hola amigos Pues esta es una pequeña aplicacion que comence hace unos meses y la tuve que dejar por falta de tiempo, justo hace un par de dias saque unas horas libres y la termine. No es nada del otro mundo, es solo una utilidad para convertir nuestros plugins de OllyDbg para poder usarlos en cualquier version modificada del mismo. Aqui tienen un snapshot Caracteristicas: v0.1b Initial Release Conversion de plugin automatica Versiones soportadas: OllyDbg, Defixed, SND, RAMODBG, diablo2oo2, Shadow, ICE, CiM. Conversion de plugin avanzada. Permite cambiar imports y exports names manualmente Editor hexa integrado Link de descarga: ODBGPluginConv0.1b.rar Bueno, espero que les sea de utilidad y que les agrade, cualquier bug, sugerencia, comentario....ya saben Saludos

357	Programación / Programación Visual Basic / Re: duda acerca de los servicios :P	en: 15 Agosto 2011, 17:47 pm
En que te falla y que error te devuelve? El prototipo de la funcion es: Código ServiceInstall(ComputerName As String, ServiceName As String, Path As String) El primer parametro es el nombre de la PC (Segun la MSDN - http://msdn.microsoft.com/en-us/library/ms684323(v=vs.85).aspx): The name of the target computer. If the pointer is NULL or points to an empty string, the function connects to the service control manager on the local computer. El segundo y el tercer parametro estan relacionados con "CreateService" (http://msdn.microsoft.com/en-us/library/ms682450(v=vs.85).aspx). Por lo que estuve viendo en la implementacion de la funcion, se utiliza el mismo parametro de funcion "ServiceName" para los parametros de API "lpServiceName" y "lpDisplayName" que no necesariamente tienen que ser iguales...bueno, es solo una aclaracion. Saludos

358	Seguridad Informática / Análisis y Diseño de Malware / Re: Analizando un Autorun.inf de virus (USB)	en: 15 Agosto 2011, 15:09 pm
Cita de: adan-2994 en 15 Agosto 2011, 08:14 am Disculpen por alterarme Lo que paso es q se fueron del tema yo solo qiero abrir el autorun y leerlo los virus no me hacen nada, tambien uso Win 7 y no los ejecuta. Pero gracias por responder gracias BlackZeroX▓▓▒▒░░ estoy investigando las paginas q dejaste Cita de: [ Thunder \| CLS ] en 11 Agosto 2011, 01:14 am Lo que pasa es que el antivirus toma el control total del archivo .inf bloqueando todas las llamadas de lectura, apertura, etc sobre el mismo. Intenta desactivar el antivirus momentaneamente y prueba a abrir el .inf una vez mas Saludos Intentastes hacer lo que te dije?

359

Programación / Programación C/C++ / ERROR - Process Hollowing

en: 11 Agosto 2011, 01:35 am

Hola gente
Veran, he estado practicando un poco con el formato PE, la cuestion es que he querido usar un codigo para dichos fines pero no logro que me funcione.
El codigo que estoy estudiando es uno usado para correr un ejecutable en el contexto de otro, lo que comunmente la mayoria conoce como RunPE

, el codigo compila sin problemas, el problema se da a la hora de resumir el hilo para continuar la ejecucion, por lo que sospecho que hay algun fallo cuando el exe2 se copia en la memoria del exe1, pero no se a ciencia cierta cual podria ser el fallo, pues cuando intento ejecutar, por ej, el bloc de notas en la calculadora lo hace sin problemas, el fallo lo da cuando intento con otra app. El codigo es el siguiente:

Código

typedef DWORD (__stdcall *pNtUnmapViewOfSection)(HANDLE ProcessHandle, PVOID BaseAddress);
void RunPE(LPSTR, LPSTR);
 
typedef struct {
   PIMAGE_DOS_HEADER dos_header;
   PIMAGE_NT_HEADERS nt_headers;
   PIMAGE_SECTION_HEADER section_header;
   LPBYTE file_data;
} NEW_PROCESS_INFO, *PNEW_PROCESS_INFO;
 
void get_replacement_info(const char* full_file_path, PNEW_PROCESS_INFO new_process_info)
{
   DWORD bytes_read;
 
   HANDLE hFile = CreateFileA(full_file_path,
                              GENERIC_READ,
                              FILE_SHARE_READ,
                              NULL,
                              OPEN_EXISTING,
                              FILE_ATTRIBUTE_NORMAL,
                              NULL);
   //Note: High DWORD ignored, dangerous with >4GB files :-P
   DWORD file_size = GetFileSize(hFile, NULL);
 
   new_process_info->file_data = (LPBYTE)malloc(file_size * sizeof(LPBYTE));
   ReadFile(hFile, new_process_info->file_data, file_size, &bytes_read, 0);
 
   assert(bytes_read == file_size);
   new_process_info->dos_header = (PIMAGE_DOS_HEADER)(&new_process_info->file_data[0]);
   new_process_info->nt_headers = (PIMAGE_NT_HEADERS)(&new_process_info->file_data[new_process_info->dos_header->e_lfanew]);
}
 
void RunPE(LPSTR file, LPSTR host)
{
   NEW_PROCESS_INFO new_process_info;
   PROCESS_INFORMATION process_info;
   STARTUPINFOA startup_info;
 
   RtlZeroMemory(&startup_info, sizeof(STARTUPINFOA));
   pNtUnmapViewOfSection NtUnmapViewOfSection = NULL;
 
   CreateProcessA(NULL,
                  host,
                  NULL,
                  NULL,
                  FALSE,
                  CREATE_SUSPENDED,
                  NULL,
                  NULL,
                  &startup_info,
                  &process_info);
 
   get_replacement_info(file, &new_process_info);
   NtUnmapViewOfSection = (pNtUnmapViewOfSection)(GetProcAddress(GetModuleHandleA("ntdll.dll"),
                                                                                  "NtUnmapViewOfSection"));
   //Remove target memory code
   NtUnmapViewOfSection(process_info.hProcess, (PVOID)new_process_info.nt_headers->OptionalHeader.ImageBase);
   //Allocate memory in target process starting at replacements image base
   VirtualAllocEx(process_info.hProcess,
                  (PVOID)new_process_info.nt_headers->OptionalHeader.ImageBase,
                  new_process_info.nt_headers->OptionalHeader.SizeOfImage,
                  MEM_COMMIT | MEM_RESERVE,
                  PAGE_EXECUTE_READWRITE);
 
   //Copy in PE header of replacement process
   WriteProcessMemory(process_info.hProcess,
                      (PVOID)new_process_info.nt_headers->OptionalHeader.ImageBase,
                      &new_process_info.file_data[0],
                      new_process_info.nt_headers->OptionalHeader.SizeOfHeaders,
                      NULL);
 
   //Write in all sections of the replacement process
   for(int i = 0; i < new_process_info.nt_headers->FileHeader.NumberOfSections; i++)
   {
      //Get offset of section
      int section_offset = new_process_info.dos_header->e_lfanew +
                           sizeof(IMAGE_NT_HEADERS) +
                           (sizeof(IMAGE_SECTION_HEADER) * i);
      new_process_info.section_header = (PIMAGE_SECTION_HEADER)(&new_process_info.file_data[section_offset]);
 
      //Write in section
      WriteProcessMemory(process_info.hProcess,
                         (LPVOID)(new_process_info.nt_headers->OptionalHeader.ImageBase +
                         new_process_info.section_header->VirtualAddress),
                         &new_process_info.file_data[new_process_info.section_header->PointerToRawData],
                         new_process_info.section_header->SizeOfRawData,
                         NULL);
   }
 
   //Get CONTEXT of main thread of suspended process, fix up EAX to point to new entry point
   LPCONTEXT thread_context = (LPCONTEXT)LocalAlloc(LPTR, sizeof(CONTEXT));
   thread_context->ContextFlags = CONTEXT_FULL;
   GetThreadContext(process_info.hThread, thread_context);
   thread_context->Eax = new_process_info.nt_headers->OptionalHeader.ImageBase +
                         new_process_info.nt_headers->OptionalHeader.AddressOfEntryPoint;
   SetThreadContext(process_info.hThread, thread_context);
 
   //Resume the main thread, now holding the replacement processes code
   ResumeThread(process_info.hThread);
   free(new_process_info.file_data);
   LocalFree(thread_context);
}

Si alguien me pudiera dar una manito aqui se lo agradeceria. Por cierto, estoy usando el BC++
Saludos

360	Programación / Ingeniería Inversa / Re: Reverse.	en: 11 Agosto 2011, 01:21 am
Cita de: boxx en 10 Agosto 2011, 19:12 pm Nadie me dice nada?. Una mano por favor. No sé qué hacer. mmm...creo que estas muy verde en el cracking para enfrentarte a un soft comercial. Igual solo es una opinion, pero creo que seria mejor que dejaras esta app guardada temporalmente y empieces por lo basico. Una recomendacion?, aqui puedes empezar http://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/ Saludos

Páginas: 1 ... 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 [36] 37 38 39 40 41 42 43 44 45 46 47