Aof Posted May 17, 2018 Posted May 17, 2018 ola, esse e meu primeiro post no forum espero que todos goste pois foi feito com muita dedicação e vontade de compartilha conhecimento já que em português e mas difícil de encontrar coisas do gênero. Nesse tutor você vai aprender a mudar o entry point de qual binário usando uma ferramenta muita boa. Estou falando do OllyDbg, essa e mas uma técnica que se pode fazer com o olly. Tools: vamos usar o OllyDbg e ExeInfor PE, Alvo: Change OEP 1 Abra o nosso programa teste Change OEP no olly FILE>OPEN. ou arraste o arquivo para dentro do olly. perceba que o olly ja deixa selecionado o Original Entry Point no nosso casso e o endereço 00401280 e nos iremos mudar para o endereço 00401340. 2 Vamos alterar o entry point para o 00401340 onde esta nossa MessageBox e nosso site. 3 Primeiro vc click nesse butao com a letra "M", que e uma atalho para uma janela chamada Memory Map. 4 Na janela Memory Map existem varias colunas, nossas colunas principais sao Address e Size, para facilitar selecione o local onde esta o OEP, der dois clicks na linha selecionada a baixo. 5 Vai abrir outra janela com o nome DUMP, vamos descer ate encontrar AddressOfEntryPoint onde mostra a imagem abaixo na seta 2, sempre sera neste local para qualquer binário que vc abrir no olly. na seta 1 e o nosso address 004000A8 onde fica armazenado o OEP ( original entry point), veja seta 2 tem um valor de pois do igual " AddressOfEntryPoint = 1280", o valor 1280 e o que nos vamos mudar. 6 Agora que sabemos o address que armazena o OEP (004000A8) vamos alterar para o valor desejado, que e o 00401340. click na area do DUMP 7 pressione as teclas CTRL + G para ir direto ao nosso address. aparecera a janela abaixo. Digite o address do OEP. Os primeiro hex são o do entry point. selecione os primeiros bytes como a imagem a baixo e pressione CTRL + E. 8 na janela EDIT substitua o 80 12 por 40 13. e depois click em ok. Pronto, só e salvar o binário e abrir no Exeinfor PE. veja que o entry point agora e 00001340. fonte: analisecibernetica.blogspot.com
Supporter - Nibble sombrakey Posted May 18, 2018 Supporter - Nibble Posted May 18, 2018 Muito bom, obrigado.
bornman Posted May 19, 2018 Posted May 19, 2018 Se um programa pede uma chave logo no inicio, e alterarmos o OEP para depois dessa verificação, logo poderemos usar o programa sem nenhuma chave?
Aof Posted May 23, 2018 Author Posted May 23, 2018 vlw pelo comentaria @bornman. Na verdade eu estou aprendendo também, mas se for igual a uma neg vai pular sim a verificação da chave do programa. pessoal, se eu estiver errado me corrija, por favor. abraco @Aof.
Administrators Fernando Mercês Posted May 25, 2018 Administrators Posted May 25, 2018 Em teste sim, @bornman e @Aof, mas na prática não creio que a verificação de chave esteja exatamente no EP. Além disso, provavelmente no EP há rotinas necessárias para a correta inicialização do programa. Logo, a chance de o programa não inicializar corretamente se você não rodar o que está no EP é grande e eu diria que aumenta conforme o tamanho do seu salto para longe do EP. ?
Recommended Posts
Archived
This topic is now archived and is closed to further replies.