Reverse Engineering RET Homepage RET Members Reverse Engineering Projects Reverse Engineering Papers Reversing Challenges Reverser Tools RET Re-Search Engine Reverse Engineering Forum Reverse Engineering Links

Reverse Engineering Team Blog

06.28.05

Nice TheMida tutorial

Posted in General Posts at 11:25 am by andreageddon

Here is a nice tutorial on how to completely defeat TheMida

Click here to view the link..

Thanks to rce for this link!
Enjoy cool eh?
AndreaGeddon

1 Comment »

  1. Devine9 said,

    February 3, 2007 at 11:28 am

    For anyone who wasn’t able to follow up on this.. this is what was posted after someone on the rce forums emailed the author of the tutorial.. (spanish)

    — cut —

    This is the response of akira:

    Hola Ricardo, perdona el trabajo extra que te estoy dandoEl hecho de que haya varias combinaciones es porque el mismo codigo lo utilice para varios programas, pero hay varias que estan quitadas. Supongo que la duda surge porque la explicacion que esta en el tuto anterior de xprotector esta en espaƱol… Lo que tiene que hacer es buscar con Olly o con lo que sea la funcion ZwTerminateProcess (logicamente en cada ordenar las direcciones seran distintas y cada uno tiene que buscarlas para hacer uso de este trazador) Un ejemplo de ZwTerminateProcess en mi Pc : Con Olly abro cualquier crackme y doy a search->all names busco ZwTerminateProcess y doy a intro Ahora en la foto podemos ver la funcion , hay que sacar dos direcciones : DWORD * NtAllocateVirtualMemory1=(DWORD *)0×77F66644;
    DWORD * NtAllocateVirtualMemory2=(DWORD *)0×77F6664A;
    La Memory2 apunta al “retn 8″ como podeis ver en la foto y la Memory1 apunta a la constante 7ffe0300 , osea que hay que pillar la direccion de mov edx,7ffe0300 y sumarle uno(estas direcciones solo sirven para mi PC, cada uno debe buscar las suyas antes de compilar)La idea es que en vez de llamar a la funcion 7ffe0300 llame a nuestra funcion gancho Y ahora ya, se compila ( yo recomiendo compilar sobre visual c++ 6.0 porque es la plataforma donde yo he calculado los offset sobre este compilador. Compilarlo en otro puede dar resultados impredecibles) Un saludo y perdona de nuevo por el trabajo extra, si no quieres tener que estar posteando diles que me escriban al email de contacto del tuto y conforme tenga tiempo ire contestando.

    the mail of akira is akira_cracker@yahoo.com.ar

    cheers..

Leave a Comment