[eside-ghost] DLLs
Elessar
elessartinuviel en gmail.com
Lun Ago 21 10:49:57 CEST 2006
A verl,
el olly te permite cambiar el programa cuando está en memoria, así que
deberías ir a la dll y cambiar con un editor hexadecimal lo que has hecho
con el olly. El problema es que en el olly te aparece la dirección de
memoria en la que está cargada la dll y tu necesitas saber en "dirección
relativa".
Hay varios trukos, el más facilón es coger el código 3 instrucciones antes,
y tres instrucciones despues y buscas en la dll esa misma secuencia. Si solo
aparece una vez, es la secuencia que te interesa, cambias la instruccion por
el nop y a correr, pero si aparece más de una vez vas cogiendo más
instrucciones antes y despues con el fin de localizar exactamente la
secuencia de instrucciones que te interesa ( igual es un poco lioso
explicarlo, pero es simplemente buskar cual es la instrucción en la dll con
una búsqueda normal y corriente), yo esto lo haría p.e. con el Ultraedit o
cualquier otro editor hexadecimal.
Otra puede ser utilizando hview que es otro editor hexadecimal pero con
funciones adicionales para poder jugar con código. Me parece que hay por ahí
una opción donde puedes ver la base donde prefiere cargarse la dll. Restas
la dirección de memoria que aparece en ollydbg a esa base y te dará la
dirección relativa de la instrucción, y entonces puedes ir a la dll y
modificar directamente la instrucción. Esta es más fiable pero complicada
para hacer así desde 0(es menos chapucilla que la anterior, pero la anterior
funciona ^^ ).
Por último, no sé si había por ahí un plugin del olly que permite escribir,
si lo encuentro o lo que sea te lo paso, ok?
Espero haberte servido de ayuda, un saludo.
2006/8/18, BlackGhost <mikghost en gmail.com>:
>
> BUenas Elessar,
>
> he instalado Olly, pero tengo un problema. He abierto la dll y he
> encontrado el codigo que lanza el mensajito, pero la cuestion es que no me
> deja borrarlo. Bueno no es del todo correcto, me deja sustituirlo por NOP,
> pero lo que no me deja es luego guardar dicha dll y poder utilizarla. Como
> se hace eso?
>
> gracias
>
> Blackghost
>
>
>
> 2006/8/17, Elessar <elessartinuviel en gmail.com >:
>
> > Así haciendo un resúmen rápido...
> >
> > Abre con el ollyg(se llamaba así, no?) o cualquier otro debugger la dll,
> > y busca a ver si está hardcodeado el mensaje que te aparece en la msgbox. Si
> > es así, estará en una variable o algo por el estilo, busca la msgbox que
> > muestre ese mensaje por pantalla y cambiala por un nop. Todo esto si es así
> > de fácil, porque se puede complicar millon de veces en cuyo caso tardaríais
> > demasiado como para poder crackearlo... de todas formas aquí hay un montón
> > de peña que sabe mucho más que yo de esto, yo soy un completo aficionado
> > XDDDDD enga no seáis sosos y echarle una mano joer!!!
> >
> > Aunque io creo que te lo has montado mal,... lo correcto es adjuntar la
> > dll y decir, en el próximo ghostkino invito a 3 cubatas a quien me quite el
> > mensajito "XXXXX" cada vez que YYYY. ;P
> >
> > Aaaalejop!
> >
> > 2006/8/11, JammyZ <jammyz en gmail.com>:
> >
> > > Juanval se referia a crackear la libreria esa para evitar que haga el
> > > efecto no deseado, en vuestro caso el mostrar esa pantallita. Creo que esto
> > > no es muy legal y no se si podriais usarlo para el proyecto.
> > > Por otro lado si no teneis conocimientos de cracking os va a llevar un
> > > rato largo "parchear" la DLL, si es que lo conseguis finalmente. Eso ya
> > > vosotros vereis como andais de tiempo para jugar con estas cosas. Creo que
> > > en las charlas de Julio se dieron unas charlas de cracking tanto en Linux
> > > como en Windows.
> > > La parte de cracking en linux esta en
> > > http://blog.txipinet.com/index.php/2006/08/03/15-charla-de-introduccion-al-cracking-en-gnu-linux
> > >
> > >
> > > y de la de windows ni idea de donde esta.
> > > Suerte.
> > >
> > >
> > > On 8/11/06, Iván < eskalda en gmail.com> wrote:
> > > >
> > > > Buenas tardes,
> > >
> > >
> > >
> > > la verdad es que no estamos demasiado versados en esas artes oscuras
> > > que
> > > tu mencionas, como podriamos hacer eso que dices con las DLLs? en la
> > > pagina del ghost no he encontrado nada.
> > >
> > > gracias
> > >
> > > Juanval escribió:
> > > > yeepa
> > > >
> > > > On 8/6/06, BlackGhost < mikghost en gmail.com> wrote:
> > > >> Buenas tardes
> > > >>
> > > >> Estamos utilizando una libreria de OCR, Asprise, ya que no hemos
> > > >> conseguido
> > > >> una libreria para C++ libre para windows. El caso es que la version
> > >
> > > >> demo que
> > > >> tenemos, cada vez que se ejecuta la instruccion que necesitamos, se
> > > >> nos abre
> > > >> una ventana de dialogo que nos dice a ver si queremos ir a la
> > > pagina.
> > > >> Alguien sabe como podemos hacer que eso no salga?
> > > >
> > > > Bueno, podríais usar las artes oscuras de cracking en windows que se
> > > > explicaron en la charla de julio para eliminar la llamada al msgbox
> > > en
> > > > la dll, que si teneis un poco de suerte, no debería ser muy
> > > > complicado. Claro que la dudosa legalidad de hacer esto igual os
> > > > impide usar esta técnica para vuestro proyecto xDDDD
> > > >
> > > > taluegooo
> > > > _______________________________________________
> > > > eside-ghost mailing list
> > > > eside-ghost en deusto.es
> > > > https://listas.deusto.es/mailman/listinfo/eside-ghost
> > > >
> > >
> > > _______________________________________________
> > > eside-ghost mailing list
> > > eside-ghost en deusto.es
> > > https://listas.deusto.es/mailman/listinfo/eside-ghost
> > >
> > >
> > > _______________________________________________
> > > eside-ghost mailing list
> > > eside-ghost en deusto.es
> > > https://listas.deusto.es/mailman/listinfo/eside-ghost
> > >
> > >
> >
> > _______________________________________________
> > eside-ghost mailing list
> > eside-ghost en deusto.es
> > https://listas.deusto.es/mailman/listinfo/eside-ghost
> >
> >
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20060821/aca04924/attachment-0001.htm
Más información sobre la lista de distribución eside-ghost