Introduccion Al Cracking Con Ollydbg Desde Cero

DUDAS LECCION 5.

- Tengo una duda con esta parte. El byte que cambiaria al hacer un INC seria el mismo en los tres casos (DWORD,WORD,BYTE) o seria distinto.


Al hacer un IMUL de un solo operando el resultado se guarda en EDX : EAX y suponiendo que el resultado fuese FFFFFFFF64FFFFFF
¿EDX seria negativo y EAX positivo?
Aunque sea el producto de una misma operación cada registro tiene un valor y un signo independiente del otro. ¿es así?.

Se que voy muy retrasado y que lo mismo las preguntas son absurdas pero me gustari no dejarme cosas sin resolver, si crees que es inoportuno me lo dices y ceso en mis ataques .

Salud

el byte es el mismo para los tres casos la diferencia es que ponele que vale
0000ffff

o sea en la memoria FF FF 00 00

cuando incrementas DWORD pasa a valer 00010000

o sea 00 00 01 00

o sea cuando termina de incrementar la segunda cifra comienza a incrementar la tercera

en cambio cuando incrementas word como el maximo valor es FF FF cuando le sumas uno se excede del maximo y el resultado es

00 00 00 00

porque pone a cero los dos primeros bytes pero no puede tocar los otros dos bytes para cambiar nada alli, al ser WORD se entiende la diferencia?

lo mismo pasa con byte

si a

FF 00 00 00

le increnemtas uno con una sentencia byte pasara a ser 00 00 00 00 en cambio con una word o dword pasara a ser

00 01 00 00 en ambos casos ya que tienen acceso al segundo byte para ponerlo a uno.

Ricardo

en la multiplicacion se lee de corrido si es un numero FFFFFFFF56453412 sera un negativo pues hasta 7fffffffffffffff seran los positivos y de alli para arriba los negativos de la misma forma hasta ffffffffffffffff el cual es para esa numeracion-1

fijate proba multiplicar ffffffff por 1 eso es -1 por 1 deberia dar como resultado -1 y da

Eax =FFFFFFFF y Edx=FFFFFFFF

porque eso es FFFFFFFFFFFFFFFF que es -1 en esa numeracion.

Ricardo

http://www.ricnar456.dyndns.org/CRAC...PARTE%2026.rar

Alli esta para empezar con VB

Ricardo

Entendida perfectamente la primera parte, la segunda "casi" pero ahora tengo un problema mas urgente.


No puedo escribir ningún salto en el OLLY, ni JMP ni JN ni JZ, me dice "Unrecognized operand". ¿Que puede ser?. (las comparaciones y las operaciones anteriores si que puedo).

AYUDA, HELP, SOS.

solo debes escribir JMP y la direccion por ejemplo

JMP 401000

eso solo cualquier otra cosa que agregues (SHORT, LONG, lo que sea ) no lo reconocera

Y lo otro es que unes EDX con EAX de corrido y asi queda el numero, el signo esta dado por si pasa de 7fffffffffffffffff es negativo si es menor es positivo
Ricardo

Gracias por la aclaración, efectivamente, ponia palabras de más .

DUDAS LECCION 8.

-Al ejecutar una instrucción "MOVS o LODS" sobre los registros "ESI o EDI" la dirección de estos registros se incrementa en el mismo número de bytes con los
que se opera. (igual que si se hiciera un "REP MOVS").

¿por qué es así? (si no me he explicado bien, pasapalabra, jejeje).


- El "REP LODS" sobreescribe el contenido de "EAX" con los bytes de "ESI" tantas veces como marque "ECX".
¿Que sentido tiene esa función?.

Bueno, creo que me falta ir repasando y practicando para que se me queden en la cabezota los datos y tener que mirar lo menos posibles los apuntes.

Sigo con mi puesta al día.

Salud :-)

la primera la estoy tratando de entender jeje, la segunda pregunta

REP LODS

no es una instruccion en si, la instruccion es LODS y REP repite la misma, al combinar ambas cosas puede dar algo que como se repite y machaca siempre lo mismo no es util, pero LODS si es util, y REP si es util, ahora juntando cosas utiles no siempre el resultado es algo util jeje.

Despues que desentrañe que quisiste decir la primera parte te contesto jeje.

Ricardo

No me extraña que no me entiendas, me cuesta trabajo entenderme a mi .


A ver si me explico mejor ahora.

Tengo un REP MOVS
ESI apunta a 405000
EDI apunta a 425000
ECX vale 3

Despues del primer MOVS, ESI apunta a 405004 y EDI a 425004 porque de esa forma ESI pasará los siguientes 4 bytes a los que apunta a la dirección que apunta EDI. Y despues ESI a 405008 y EDI 425008.


Pero en un MOVS que solo se realiza la operación una vez no entiendo el porque los registros ESI y EDI apuntan a otra direccion a partir de esos cambios. Yo creo que mi duda viene porque desconozco el funcionamiento de esos registros y pienso que si despues de la operación se quiere comparar el contenido de EDI con otro registro (EAX) y resulta que EDI está apuntando a otra dirección distinta de la que se a rellenado con los valores de ESI, pues eso, que estoy mas perdido que un burro en un garaje. . De cualquier manera te agradezco tu infinita paciencia con este novato

La leche, como me he enrollado.

Otra cosita. Me tarda en cargar este foro una barbaridad. ¿me ocurre a mi solo o a alguien más?.

Salud :-)

yo pruebo con un movs y copia y queda esi y edi apuntando 4 bytes mas de donde estaba antes ejemplo

00401370 > A5 MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
00401371 90 NOP
00401372 90 NOP
00401373 90 NOP

antes

EAX 00000000
ECX 0012FFB0
EDX 7C91EB94 ntdll.KiFastSystemCallRet
EBX 7FFDD000
ESP 0012FFC4
EBP 0012FFF0
ESI 00405004 CrackMeP.00405004
EDI 00406004 CrackMeP.00406004
EIP 00401370 CrackMeP.<ModuleEntryPoint>

ejecuto con f8

EAX 00000000
ECX 0012FFB0
EDX 7C91EB94 ntdll.KiFastSystemCallRet
EBX 7FFDD000
ESP 0012FFC4
EBP 0012FFF0
ESI 00405008 CrackMeP.00405008
EDI 00406008 CrackMeP.00406008
EIP 00401371 CrackMeP.00401371

esi y edi quedan 4 mas que lo que valian antes, no me pasa eso que vos decis quizas en vez de apretar f7 apretas f9 jeje no se, a mi no me ocurre.

Ricardo

Precisamente esa es mi duda.

Si en ese momento se quiere hacer una comparacion ESI, EDI ¿que valores compara? ¿desde donde apunta hacia atrás (los valores que acaban de mover) o desde donde apuntan hacia delante?.

Perdona por no explicarme bien. Supongo que ahora con las prácticas me enteraré algo más.

Salud :-)