Ir para conteúdo
  • Cadastre-se
Entre para seguir isso  
Aof

Como mudar o OEP (Original entry point)

Posts Recomendados

Postado (editado)

ola, esse e meu primeiro post no forum espero que todos goste pois foi feito com muita dedicação e vontade de compartilha conhecimento já que em português e mas difícil de encontrar coisas do gênero. 

 

 

Nesse tutor você vai aprender a mudar o entry point de qual binário usando uma ferramenta muita boa. Estou falando do OllyDbg, essa e mas uma técnica  que se pode fazer com o olly.


Tools:

vamos usar o OllyDbg e ExeInfor PE,  
 
Alvo:
 
Abra o nosso  programa teste Change OEP no olly FILE>OPEN. ou arraste o arquivo para dentro do olly.
 
olly.thumb.png.18e60676774227c7c343951513c99f08.png
 
perceba que o olly ja deixa selecionado o Original Entry Point no nosso casso e o endereço 00401280 e nos iremos mudar para o endereço 00401340.
 
 
 
2 Vamos alterar o entry point para o 00401340 onde esta nossa MessageBox e nosso site.
 
 
 
OEP01.png.fe5005f56f3f2886295b3324f12125d1.png
 
 
3 Primeiro vc click nesse butao com  a letra "M", que e uma atalho para uma janela chamada Memory Map.
 
 
OEP02.png.9e4437ac4098b46863dd4c61608bc182.png
 
 
4 Na janela Memory Map existem varias colunas, nossas colunas principais sao Address e Size, para facilitar selecione o local onde esta o OEP, der dois clicks na linha selecionada a baixo.
 
OEP03.png.13f52fe05e250404a0342885b9d09b16.png
 
5 Vai abrir outra janela com o nome DUMP, vamos descer ate encontrar AddressOfEntryPoint onde mostra a  imagem abaixo na seta 2, sempre sera neste local para qualquer binário que vc abrir no olly. 
 
OEP04.png.3208750ebc44babc385dbb087057050b.png
 
na seta 1 e o nosso address 004000A8 onde fica armazenado o OEP ( original entry point), veja seta 2 tem  um valor de pois do igual " AddressOfEntryPoint = 1280", o valor 1280  e o que nos vamos mudar.
 
6 Agora que sabemos o address que armazena o OEP (004000A8) vamos alterar para o valor desejado, que e o 00401340. 
 
 
click na area do DUMP
 
OEP05.thumb.png.3cb183bd82b6d65a33e0e9131a980281.png
7 pressione as teclas CTRL + G para ir direto ao nosso address. aparecera a janela abaixo. Digite o address do OEP.
 
OEP06.png.5ed8ac400d6428445589f9425e5a9efa.png
 
Os primeiro hex são o do entry point. selecione os primeiros bytes como a imagem a baixo e pressione CTRL + E.
OEP07.png.6b251bd6c2d51eddc26d0d875a8405ca.png
 
 
na janela EDIT substitua o 80 12 por 40 13.  e depois click em ok.
 
OEP08.png.506867eed73484c950b5ee4ddd700415.png
 
 
 
Pronto, só e salvar o binário e abrir no Exeinfor PE. veja que o entry point agora e 00001340.
 
OEP09.png.c3b6beef7cff3995fbfd3d2a2d545424.png
 
fonte: analisecibernetica.blogspot.com
Editado por Aof
  • Curtir 3

Compartilhar este post


Link para o post
Compartilhar em outros sites

Se um programa pede uma chave logo no inicio, e alterarmos o OEP para depois dessa verificação, logo poderemos usar o programa sem nenhuma chave?

  • Agradecer 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

vlw pelo comentaria @bornman. Na verdade eu estou aprendendo também, mas se for igual a  uma neg vai pular sim a verificação da chave do programa.

 

 

pessoal,

se eu estiver errado me corrija, por favor.

abraco @Aof.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Em teste sim, @bornman e @Aof, mas na prática não creio que a verificação de chave esteja exatamente no EP. Além disso, provavelmente no EP há rotinas necessárias para a correta inicialização do programa. Logo, a chance de o programa não inicializar corretamente se você não rodar o que está no EP é grande e eu diria que aumenta conforme o tamanho do seu salto para longe do EP. 😁

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
Entre para seguir isso  

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.

×