Ir para conteúdo

Como mudar o OEP (Original entry point)


Aof

Posts Recomendados

ola, esse e meu primeiro post no forum espero que todos goste pois foi feito com muita dedicação e vontade de compartilha conhecimento já que em português e mas difícil de encontrar coisas do gênero. 

 

 

Nesse tutor você vai aprender a mudar o entry point de qual binário usando uma ferramenta muita boa. Estou falando do OllyDbg, essa e mas uma técnica  que se pode fazer com o olly.


Tools:

vamos usar o OllyDbg e ExeInfor PE,  
 
Alvo:
 
Abra o nosso  programa teste Change OEP no olly FILE>OPEN. ou arraste o arquivo para dentro do olly.
 
olly.thumb.png.18e60676774227c7c343951513c99f08.png
 
perceba que o olly ja deixa selecionado o Original Entry Point no nosso casso e o endereço 00401280 e nos iremos mudar para o endereço 00401340.
 
 
 
2 Vamos alterar o entry point para o 00401340 onde esta nossa MessageBox e nosso site.
 
 
 
OEP01.png.fe5005f56f3f2886295b3324f12125d1.png
 
 
3 Primeiro vc click nesse butao com  a letra "M", que e uma atalho para uma janela chamada Memory Map.
 
 
OEP02.png.9e4437ac4098b46863dd4c61608bc182.png
 
 
4 Na janela Memory Map existem varias colunas, nossas colunas principais sao Address e Size, para facilitar selecione o local onde esta o OEP, der dois clicks na linha selecionada a baixo.
 
OEP03.png.13f52fe05e250404a0342885b9d09b16.png
 
5 Vai abrir outra janela com o nome DUMP, vamos descer ate encontrar AddressOfEntryPoint onde mostra a  imagem abaixo na seta 2, sempre sera neste local para qualquer binário que vc abrir no olly. 
 
OEP04.png.3208750ebc44babc385dbb087057050b.png
 
na seta 1 e o nosso address 004000A8 onde fica armazenado o OEP ( original entry point), veja seta 2 tem  um valor de pois do igual " AddressOfEntryPoint = 1280", o valor 1280  e o que nos vamos mudar.
 
6 Agora que sabemos o address que armazena o OEP (004000A8) vamos alterar para o valor desejado, que e o 00401340. 
 
 
click na area do DUMP
 
OEP05.thumb.png.3cb183bd82b6d65a33e0e9131a980281.png
7 pressione as teclas CTRL + G para ir direto ao nosso address. aparecera a janela abaixo. Digite o address do OEP.
 
OEP06.png.5ed8ac400d6428445589f9425e5a9efa.png
 
Os primeiro hex são o do entry point. selecione os primeiros bytes como a imagem a baixo e pressione CTRL + E.
OEP07.png.6b251bd6c2d51eddc26d0d875a8405ca.png
 
 
na janela EDIT substitua o 80 12 por 40 13.  e depois click em ok.
 
OEP08.png.506867eed73484c950b5ee4ddd700415.png
 
 
 
Pronto, só e salvar o binário e abrir no Exeinfor PE. veja que o entry point agora e 00001340.
 
OEP09.png.c3b6beef7cff3995fbfd3d2a2d545424.png
 
fonte: analisecibernetica.blogspot.com
Link para o comentário
Compartilhar em outros sites

Em teste sim, @bornman e @Aof, mas na prática não creio que a verificação de chave esteja exatamente no EP. Além disso, provavelmente no EP há rotinas necessárias para a correta inicialização do programa. Logo, a chance de o programa não inicializar corretamente se você não rodar o que está no EP é grande e eu diria que aumenta conforme o tamanho do seu salto para longe do EP. ?

Link para o comentário
Compartilhar em outros sites

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...