Jump to content

Como mudar o OEP (Original entry point)


Aof

Recommended Posts

Posted

ola, esse e meu primeiro post no forum espero que todos goste pois foi feito com muita dedicação e vontade de compartilha conhecimento já que em português e mas difícil de encontrar coisas do gênero. 

 

 

Nesse tutor você vai aprender a mudar o entry point de qual binário usando uma ferramenta muita boa. Estou falando do OllyDbg, essa e mas uma técnica  que se pode fazer com o olly.


Tools:

vamos usar o OllyDbg e ExeInfor PE,  
 
Alvo:
 
Abra o nosso  programa teste Change OEP no olly FILE>OPEN. ou arraste o arquivo para dentro do olly.
 
olly.thumb.png.18e60676774227c7c343951513c99f08.png
 
perceba que o olly ja deixa selecionado o Original Entry Point no nosso casso e o endereço 00401280 e nos iremos mudar para o endereço 00401340.
 
 
 
2 Vamos alterar o entry point para o 00401340 onde esta nossa MessageBox e nosso site.
 
 
 
OEP01.png.fe5005f56f3f2886295b3324f12125d1.png
 
 
3 Primeiro vc click nesse butao com  a letra "M", que e uma atalho para uma janela chamada Memory Map.
 
 
OEP02.png.9e4437ac4098b46863dd4c61608bc182.png
 
 
4 Na janela Memory Map existem varias colunas, nossas colunas principais sao Address e Size, para facilitar selecione o local onde esta o OEP, der dois clicks na linha selecionada a baixo.
 
OEP03.png.13f52fe05e250404a0342885b9d09b16.png
 
5 Vai abrir outra janela com o nome DUMP, vamos descer ate encontrar AddressOfEntryPoint onde mostra a  imagem abaixo na seta 2, sempre sera neste local para qualquer binário que vc abrir no olly. 
 
OEP04.png.3208750ebc44babc385dbb087057050b.png
 
na seta 1 e o nosso address 004000A8 onde fica armazenado o OEP ( original entry point), veja seta 2 tem  um valor de pois do igual " AddressOfEntryPoint = 1280", o valor 1280  e o que nos vamos mudar.
 
6 Agora que sabemos o address que armazena o OEP (004000A8) vamos alterar para o valor desejado, que e o 00401340. 
 
 
click na area do DUMP
 
OEP05.thumb.png.3cb183bd82b6d65a33e0e9131a980281.png
7 pressione as teclas CTRL + G para ir direto ao nosso address. aparecera a janela abaixo. Digite o address do OEP.
 
OEP06.png.5ed8ac400d6428445589f9425e5a9efa.png
 
Os primeiro hex são o do entry point. selecione os primeiros bytes como a imagem a baixo e pressione CTRL + E.
OEP07.png.6b251bd6c2d51eddc26d0d875a8405ca.png
 
 
na janela EDIT substitua o 80 12 por 40 13.  e depois click em ok.
 
OEP08.png.506867eed73484c950b5ee4ddd700415.png
 
 
 
Pronto, só e salvar o binário e abrir no Exeinfor PE. veja que o entry point agora e 00001340.
 
OEP09.png.c3b6beef7cff3995fbfd3d2a2d545424.png
 
fonte: analisecibernetica.blogspot.com
Posted

Se um programa pede uma chave logo no inicio, e alterarmos o OEP para depois dessa verificação, logo poderemos usar o programa sem nenhuma chave?

Posted

vlw pelo comentaria @bornman. Na verdade eu estou aprendendo também, mas se for igual a  uma neg vai pular sim a verificação da chave do programa.

 

 

pessoal,

se eu estiver errado me corrija, por favor.

abraco @Aof.

  • Administrators
Posted

Em teste sim, @bornman e @Aof, mas na prática não creio que a verificação de chave esteja exatamente no EP. Além disso, provavelmente no EP há rotinas necessárias para a correta inicialização do programa. Logo, a chance de o programa não inicializar corretamente se você não rodar o que está no EP é grande e eu diria que aumenta conforme o tamanho do seu salto para longe do EP. ?

Archived

This topic is now archived and is closed to further replies.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...