domingo, 15 de mayo de 2011

Ejemplo de uso de TLS Callbacks Funtions

@The_Swash me ha enviado este documento que ha redactado él explicado el uso de Thread Local Storage Callbacks Functions para ejecutar código antes de la propia ejecución del programa en el Entry Point.

Con esto se puede conseguir que por ejemplo cuando se abra un exe con OllyDbg antes de que pare en el EP se ejecute código que detecte que el ejecutable esta siendo depurado y modifique parte del código del ejecutable para engañar a quien intente realizarle ingeniería inversa. Esto es usado desde hace tiempo en el malware, protectores de ejecutables, packers, etc…

Es posible configurar OllyDbg para que se detenga antes del EntryPoint y evitar que se ejecute este código. Para ello hay que ir a Options>Debugging Options>Make first pause at y seleccionar System breakPoint.

Gracias por el documento @The_Swash!

2 comentarios:

  1. Hola THOR, definitivamente la vida es muy corta para todo los que nos proponemos...

    No hay nada mejor que vivirla al máximo cada segundo, gracias por la información, me he topado con miles de aplicaciones de este tipo que me detectan el OllyDbg.

    Saludos muchacho estoy flipao'.

    ResponderEliminar
  2. Muchas gracias por el comentario!

    ResponderEliminar