Volumen I

INTRODU CCIN
AL
CRACK ING
Prologo
Como introduccin a esta serie de artculos que van a comenzar
a publicarse en lalista de crakslatinos, los autores Ricardo
Narvaja y mR gANDALF, hacen una breve entrada de lo que
pretende ser esta coleccin de tutoriales sobre el craking.
Este el comienzo de algo nuevo.
No les voy a mentir si les digo que
este es un proyecto ambicioso que
hemos comenzado mi amigo mR
gANDALF y yo. Creo que lo que
vamos a realizar es algo nico en su
especie.
Muchos dirn que ya hicimos un
curso el cual existe y esta
completito. Dicho curso, al igual
que este, estarn en mi FTP del
cual se dan los datos.
La diferencia entre este curso y el
anterior, es que pensamos hacer de
este algo ms grande, con tutes
mos y de mR gANDALF y con los
mejores tutes de otros autores,
mencionando quien es,
as como traducciones al castellano
de tutes en ingles hechas por
nosotros de los autores que
consideremos los mejores sobre el
tema y tambin con los mejores
tutes del curso anterior corregidos,
actualizados,
modificados,
revisados y puestos lindos para que
tengan una mejor lectura y
comprensin.
As que ser esto distinto.
Tambin, cada varias lecciones
pensamos hacer como una pequea
auto evaluacin, as cada uno puede
ver si hasta all lleg entendiendo
todo y est en condiciones de
seguir adelante, realizando algn
ejercicio que pondremos cuya
respuesta saldr en el comienzo de
la siguiente parte, para que exista
un mtodo de auto-verificacin de
Hace un ao, aproximadamente, un

amigo me paso un programa en un
CD-R que despus de instalar te
peda un nmero de serie. Como
yo no conoca tal nmero,
lgicamente no pude utilizarlo.
Cuando habl con mi amigo le dije:
Oye, me tienes que dar el serial
del programa por que si no, no
peta. Tienes el crack en la carpeta
de instalacin, me respondi l.
El crack.?...yo no saba... Puede
parecer extrao a quin lea esto
explicarse como es posible que ya
en pleno siglo XXI alguien no
conociera lo que es un crack.
Pues bien, yo mismo no lo saba.
Meses despus mi hermano menor
trat de ayudarme a buscar algo
para que me funcionara una demo
de 30 das de un programa que ya
le haba tomado cario. Tecleo
http://astalavista.box.sk/ y el
nombre del programa, eligi un
patcher acorde con la versin y en
pocos minutos mi demo recobr la
vida. Definitivamente esto llam
poderosamente
mi
atencin.
Cmo era posible que un
programa que funcionaba de una
determinada manera, de pronto
empezase a funcionar de otra? . El
primer impulso que tuve fue el de
recuperar todos esos CD`s llenos
de shareware que muchas veces
desee poseer. Por debajo rumiaba
la curiosidad de saber hasta que
punto astalavista era capaz de
hacerlo. Me qued asombrado,
P R L O G O
conocimientos. Quiero decir a los

que recin se inician que no tengan
miedo, que no se asusten. Por all
van a leer sobre ensamblador y
sobre lenguajes de programacin y
mi temor es que piensen que para
empezar a crackear hay que ser un
experto en estas cosas. Yo les digo
que no es necesario para comenzar
a crackear saber ensamblador, salvo
unas mnimas ideas que son muy
sencillas y que uno aprende de a
poquito, sin necesidad de ser un
experto. Es bueno decir que
cuando yo comenc a crackear no
tena ni idea de ensamblador y ya
haba
crackeado
como
50
programas. All fue cuando
profundice un poco mas sobre el
tema y es a da de hoy que no soy
un experto en ello, pero voy
tratando de mejorar y seguir
aprendiendo, que es algo que nunca
termina.
En este curso, a diferencia del
anterior, van a tener muy buenos
tutes de otros autores sobre
ensamblador que sern material de
consulta y estudio, pero siempre
creo y creer fervientemente que es
muy bueno saber ensamblador para
crackear pero es mejor es dotado
de
sentido
comn,
persistencia,
practicar mucho y crackear todo lo
que se nos cruce en el camino.
Aunque al principio fallemos no
importa. Si algn programa nos
venci, lo dejamos archivado y
despus de un tiempo cuando se
incrementen
nuestros
conocimientos, lo volvemos a
intentar, y quizs entonces
tengamos mas suerte.
Estas ideas son lo que se me
ocurri a m cuando comenc y es
lo que sigue ocurrindoseme ahora,
con todo lo que me falta por
aprender.
miles de cracks con cada consulta.

Patches,
loaders,
serials,
keygens...Un universo nuevo para
un concepto que an era
desconocido para m: la ingeniera
inversa. Como dice el gigante Black
Fnix en su Introduccin al
Cracking que presentamos en el
primer captulo, hay una evolucin
en esto cuyo primer peldao refleja
ese ansia acaparadora que han
bautizado los anglosajones con el
termino lammer. Estos son unos
personajes muy comunes cuya
motivacin principal es la de no
pagar por el software que
consumen, as de sencillo. Segn
Black Fnix, algunos evolucionan
por el camino de la curiosidad
hacia algo ms constructivo y se
denominan con el termino newbie.
Este era la ruta que yo recorra, sin
saberlo muy bien, por la senda que
ya haba trazado el mago. El primer
tutorial que cayo en mis manos fue
My First Lesson de PCQuest.
No me pregunten dnde lo
encontr por que ya no lo recuerdo
bien y todo rastro fue borrado de
mi disco duro durante un mal
encuentro con un black list
(harcoded que el programa
reconoce produciendo graves
consecuencias para el newbie
atrevido). Posteriormente creo que
le la introduccin de Yodacker,
que seguramente escribo mal y
cuya lectura fue quizs la ms
definitiva de cuantas haya realizado
sobre este apasionante tema. Este
escrito dormit durante muchas
noches en una carpeta de mi
escritorio (una carpeta real en un
escritorio de madera). Internamente
se debata una lucha entre la
curiosidad y la prudencia. Sera
capaz de introducirme en este oscuro
arte, como muchas veces haba
ledo llamar al craking, tan solo
INTRODU CCIN
AL
CRACK ING
Por otro lado, quisiera agradecer a

mi amigo mR gANDALF, cuya
habilidad para crackear y realizar
tutes ya se vio en el curso anterior,
su sentido de la organizacin y el
orden, algo de lo cual yo carezco,
ya que soy todo un caos y
desorden. Todo lo ordenadito que
sea este curso ser mrito de mR
gANDALF, que ya vern es en ese
sentido muy diferente a m y creo
que
por
eso
nos
complementaremos bien.
Ya veremos si les gusta. No me
queda mas que incitarlos a que
comiencen este curso de cracking y
que lean mucho, investiguen y
practiquen, que no es nada del otro
mundo y que todos cuando
empezamos de cero ramos unos
simples curiosos que nos pico un
bichito y solo sabamos que
tenamos ganas de ir metindonos
poco a poco en el apasionante
mundo del cracking.
para poder llegar a comprender

esos sesudos tutoriales que corran
por la red? Sera un esfuerzo
baldo?. Poco a poco fueron
cayendo uno tras otro cientos de
tutoriales. La pgina de karpoff fue
definitiva.
La
Meca
del
conocimiento sobre ingeniera
inversa en castellano, el lugar
donde se producen colaboraciones
para traducir textos, para sumar
nuevos tutoriales con cada entrega
del maestro y guardin del saber,
esa persona imprescindible sin la
que tantas cosas jams llegaran
hasta nosotros. Las lecciones de
AESOFT, que an dudamos de
incluir, fueron el bautismo de
fuego. Despus vinieron las
lecciones del curso de Ricardo, el
apuntarme a la lista de crackslatinos
y el encontrar en l no solo a un
maestro, sino a un amigo en quien
poder confiar y con quien poder
compartir momentos inolvidables
como aquel preciso instante en el
que modificando el ltimo byte,
all... a lo lejos... en el horizonte de
tu monitor... si te fijas bien, puedes
observar como resopla...Mobby
Dick (Crack el Destripador).
Ricardo Narvaja, Abril 2002
mR gANDALF, Abril 2002
ndice
CAPTUL O
CAPTUL O
GUA GENERAL DE CRACKING BAJO WINDOWS
ENSAMBLADOR II
Qu es el Hacking/Cracking?
Interrupciones y API
34
Qu necesito para entrar en combate?
Representacin de datos, etiquetas
38
Sistemas de Proteccin mas usuales
Otras instrucciones importantes
39
Como llegar al ncleo de la proteccin
Otras instrucciones interesantes
42
Sistemas de proteccin por tiempo
Introduc. al coprocesador matemtico
44
Sistemas de proteccin por banner/nags
Sistemas de proteccin, CD-Checks
Sistemas de proteccin anticopia
11
CAPTUL O
THE TOOLS OF TRADE I: W32dams 8.x
CAPTUL O
Empezando: Desensamblando calc.exe
ENSAMBLADOR I: CONCEPTOS BASICOS
47
Guardando el texto desensamblado y
Algunos conceptos previos
13
Juegos de registros de los 80x86
14
La orden mov y el acceso a memoria
16
Codificacin de una instruccin
18
Las operaciones lgicas
20
Las operaciones aritmticas
21
FLAGS e instrucciones de comparacin
23
Saltos, y saltos condicionales
26
La pila
29
Subrutinas
31
creando un Project file
49
Abriendo un archivo Project existente
49
Navegando el texto desensamblado
50
Imprimiendo/copiando el texto
56
Cargando una aplicacin de 32 bits en

el debugger
57
Corriendo, pausando y terminando un

programa
59
Single Stepping
60
Colocando y activando brakpoints
60
Adjuntando un proceso activo
63
Modificar registros, flags, memoria e

instrucciones
65
Explorando los mdulos de llamadas
70
Detalles de las API de windows
71
CAPTUL O
THE TOOLS OF TRADE II: Introduccin al SoftICE
Cmo instalo el softICE?
74
Cmo configuro el softICE?
75
FAQ: Primeros pasos con el softICE
75
Configurar el entorno
78
Traceando a travs del cdigo
82
Ver y editar la memoria
83
Vistas
84
Usando smbolos y NMSYM
86
Opciones de la lnea de comandos
87
Entrando en materia
106
Obteniendo informacin de sistema
88
Buscando por cadena conocida
108
Capturando Fallas de Proteccin Gnral.
88
Bsqueda a lo retro
112
Ejercicios
89
Por prediccin
113
El inevitable parcheo
115
El crack destruible
117
Obtener un serial
119
Keygen, el mejor crack
121
CAPTUL O
EDITORES HEXADECIMALES: HEX VIEW
Instalacin y descarga
96
Primeros pasos
96
Checksums
97
Explicacin de las opciones
97
El men
98
Ultra Edit
99
HIEW
10
CAPTUL O
NUESTRA PRIMERA VCTIMA
I N T R O D U C C I O N
A L
Captulo
C R A C K I N G
Gua General de Craking

bajo Windows
Black Fenix
Entre las mejores pginas sobre ingeniera inversa se encuentra Reversed Minds, de
Black Fnix, que aunque no se actualizar ya ms ha dejado para los amantes del
cracking una excelente coleccin de tutoriales y una de las mejores introducciones del
tema que jams se han escrito. Por ello, queremos abrir as esta nueva coleccin de
artculos para los que se inician al cracking y para todos aquellos que tengan la
mR gANDALF
curiosidad de acercarse a l..
ienvenidos a lo que pretende ser una gua general de cracking bajo

Windows. Esta gua trata de introducir a aquellas personas sin
conocimientos sobre el tema en el apasionante mundo del
hacking/cracking. Si usted ya es un experto, felicidades, no le hace
falta leer esto, aunque siempre podr aprender algo nuevo. Un consejo para
todos los interesados en este mundillo y en general el mundillo de la
informtica: aprende ingls, sabiendo ingls podrs acceder a las fuentes de
informacin ms actuales, obteniendo as el mejor nivel sobre el tema.
Para poder entender lo aqu explicado es necesario un mnimo conocimiento del
lenguaje ensamblador y de Windows, si no se conoce el lenguaje ensamblador,
mejor que busques algn tutorial en la web 1 . En cuanto a Windows, no es
necesario ser un experto programador de este sistema (sin operativo porque no lo
es).
Qu es el Hacking/Cracking?
Se podra definir como un proceso manual o automtico en el cual un
sistema de seguridad que protege un software/hardware es "burlado". El
termino hacking se aplica cuando este proceso tiene lugar en un sistema
remoto, es decir se asalta el sistema de un ordenador ajeno, pudiendo as
acceder a informacin confidencial pudiendo llegar a destruirla, alterarla o
copiarla. Existen los Hackers blancos, que en principio sus intenciones no son
malficas y tan slo buscan fallos de seguridad en el sistema y los Hackers
negros o crackers de redes, los cuales pueden destruir los datos, copiarlos,
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
alterarlos o hacen lo que les plazca cuando llegan a obtener todos los
privilegios de acceso.
Alguien defini una escala bastante absurda en la que digamos se
muestra la evolucin de un hacker. Muchos quedan estancados en alguna fase
de la escala y otros ni tan siquiera logran pasar de la primera etapa.
Lamer -> Wannabe -> Newbie -> Hacker -> Gur o Elite -> Wizard
Por supuesto llegar a hacker no es cuestin de dos das y llegar a
Wizard es algo que casi nadie logra. Entre la lite podemos encontrar a gente
bastante joven pero los Wizards suelen ser ya mayores y debido a su inmensa
experiencia, tanto en la vida misma como en la informtica, poseen un nivel
que ni ellos mismos podran concretar donde acaba. En mi opinin es difcil
distinguir a la lite de los wizards y creo que los Wizards necesitan tener un
carcter especial como persona, por lo que no todo el mundo puede llegar
aqu. Alguien que se jacte de ser lite y vacile con ello nunca llegar a Wizard,
al contrario, descender rpidamente a niveles inferiores.
El termino cracking es aplicable cuando se burla el sistema de
proteccin de algn software que normalmente esta protegido contra copia u
otro tipo de proteccin similar (versiones limitadas por tiempo, por un nmero
de serie, mochilas, etc) pudiendo as obtener una copia funcional de un
software protegido. Cabe diferenciar entre crackers de redes y crackers de
sistemas de proteccin de software. Algunos "gurus" del cracking tambin lo
definen como un estado diferente de la mente, otros como una manera de
expresar su arte, incluso algunos la definen como una ciencia (y resulta cierto).
Qu necesito para entrar en combate?

He aqu la pregunta del milln. Pues para empezar es necesaria una
mnima base de ensamblador por lo que si no tienes ni idea te recomiendo que
consultes algn libro o busques algn tutorial en la web2. Mira el apartado de
links de mi pgina, all encontrars algo que podr ayudarte. Estar bien
equipado es la clave para obtener el xito en combate, he aqu un listado con
las herramientas que necesitaremos, a parte de claro est, paciencia:
Es un debugger3 para Windows, el mejor en su
clase. Esta es la base de nuestro ejrcito, sin l no haremos nada ante un
enemigo bien preparado. Se recomienda profundizar mucho con l y
aprendrselo bien.
SoftIce for Windows 9X/NT:
Esta aplicacin es un desensamblador/debugger para Windows.

Con l abriremos al enemigo en canal y examinaremos su estructura y cdigo.
Es muy sencillo de usar.
W32dasm:
Otro desensamblador. En algunos casos el W32dasm no funcionar

correctamente por lo que usaremos este otro que funciona mucho mejor
aunque es ms complicado. Necesario si no se usa W32dasm.
IDA Pro:
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
Editor hexadecimal de lujo con el modificaremos el cdigo del

software que as lo precise. Puedes usar otro editor pero te recomiendo este
por ser muy verstil.
Ultra-Edit 32:
Este programita nos permitir monitorizar que archivos son abiertos

por la aplicacin/es que le digamos y as saber con que ficheros trabaja el
enemigo. Este arma slo ser necesaria en algunos casos ;)
Filemon:
Programa que nos permitir monitorizar todas

las funciones del API de Windows que estn siendo ejecutadas por
determinada aplicacin. No es imprescindible pero tampoco es intil ;)
Monitor del API de Windows:
Este programa nos permitir monitorizar todos los accesos al registro

de Windows. As sabremos donde guarda la informacin el enemigo;).
Opcional.
RegEdit:
Una gua que describe todas las funciones

del API de Windows. Imprescindible si no se domina bien el API, cosa ms
que probable (por lo menos en mi caso).
Win32 Programmer's Reference:
Te recomiendo que te familiarices con estas tools puesto que si no tiene un

mnimo conocimiento del arma4 te puede salir el tiro por la culata ( prdidas de
datos etc. ;) ). Puedes buscar estas herramientas en www.astalavista.box.sko
en mis links.
Obviamente no he listado todas las herramientas de las cuales podemos sacar
partido ya que sera una lista interminable, por eso, siempre deberemos visitar
algunas de las siguientes pginas para obtener ms "armamento". Todo
armamento que podamos conseguir nos puede ahorrar horas de trabajo,
aunque no es bueno abusar de las armas, ya que hay veces que hay que luchar
sin ellas y si no estamos acostumbrados podremos fracasar5.
http://www.suddendischarge.com
http://www.hackersclub.com
http://crknotez.cjb.net
http://fravia.org
http://protools.cjb.net
Sistemas de proteccin ms usuales

Es crucial que antes de comenzar el combate conozcamos a qu nos
enfrentamos. Por ello, antes de empezar una sesin de cracking, deberemos
realizar una exploracin preliminar del enemigo - utilizar nuestros satlites
espa6;-) - . Las principales caractersticas que deberemos conocer dependern
del tipo de proteccin que este siendo usado, pudiendo ser un sistema de
proteccin combinado (+ de un tipo de proteccin) lo cual puede llegar a
complicar el asunto. Una vez detectado el sistema de proteccin
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
comprobaremos las posibles defensas del enemigo. He aqu las defensas que
deberemos tener ms en cuenta:
El software usa tcnicas para detectar nuestra presencia y
evitar as poder ser trazado7. Normalmente intentar detectar la presencia de
un debugger y parar la ejecucin del software mientras este presente.
Anti-Debugging:
El software usa tcnicas que "ocultan" el

verdadero cdigo del programa hasta que se ejecuta el programa, inutilizando
as cualquier intento de desensamblado del cdigo.
Encriptacin/Compresion de datos:
Antes de entrar en combate deberemos conocer al enemigo. Una vez conocido

deberemos seleccionar el armamento adecuado y estaremos listos. Este paso es
importante ya que nos evitar muchos quebraderos de cabeza si lo realizamos.
Como llegar al ncleo de la proteccin

Cuando estamos trazando un determinado software podemos utilizar
varias tcnicas para llegar antes a la parte de cdigo en la cual sospechamos
que puede haber parte del sistema de proteccin. Aqu describir algunos de
los mtodos ms usados.
Este mtodo se basa en trazar el programa hacia atrs, es
decir, dejar que el sistema de proteccin se active y parar la ejecucin8
justo despus (cuando el software nos avise con un mensaje de
error). A partir de ese instante trazaremos hacia atrs (esto lo haremos
examinando el cdigo) buscando un salto que nos aleje o nos aproxime
de la funcin que muestra el mensaje: tpicamente esta funcin suele
ser una de las siguientes:
A lo retro:
MessageBoxA, MessageBox,
DialogBoxParam, DialogBoxParamA
Este mtodo se utiliza cuando se sospecha que una

determinada funcin del API de Windows esta siendo usada para el
funcionamiento del sistema de proteccin. Se pone un breakpoint 9
(BPX) en el SoftIce a la funcin que se sospecha esta siendo usada y se
carga/continua con la ejecucin del software. A partir de ah se
continua trazando normalmente hasta llegar al punto clave. Muy usada
cuando se quiere buscar la funcin que pinta un banner molesto o una
pantalla nag de inicio o cuando se conoce el sistema de proteccin que
esta usando el enemigo;).
Por Prediccin:
Este mtodo se usa cuando el

sistema de proteccin muestra un mensaje de error o un mensaje
dentro de un cuadro de dilogo. Se copia el mensaje de error, se
desensambla el archivo con el W32dasm, se busca dicha cadena en la
lista de referencias a cadenas y se hace doble click en esta, se apuntan
Por referencia a una cadena conocida:
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
las direcciones donde hay una posible referencia y se examina el cdigo

que hay alrededor buscando un salto que nos aleje de la referencia a
dicha cadena. (similar al trazado a lo retro). Se comprueba que sucede
si se invierte el salto o preferiblemente se examinan las llamadas
previas al salto si las hay, ya que estas pueden ser las llamadas que
comprueban si todo est en orden (fecha/mochila/numero de serie
etc.).
Se utiliza cuando se sospecha que una
determinada cadena de caracteres est siendo utilizada/o y no se
encuentra donde debera estar por el mtodo de referencias. Esto es
debido a que el software puede almacenar ciertas cadenas en partes
reservadas al cdigo del programa, para evitar que estas sean
directamente visibles en el desensamblador. Se busca con un editor
hexadecimal en el archivo que se sospecha contiene la cadena, o se
busca la cadena en memoria con el SoftIce una vez ejecutado el
programa y antes de que se ejecute el sistema de proteccin. Si se
encuentra en memoria se pone un BPM sobre esta para interrumpir al
programa antes de realizar cualquier clculo con ella;).
Por bsqueda de cadenas:
Se utiliza
cuando se sospecha que una determinada secuencia de rdenes en
assembler est siendo usada por el sistema de proteccin / defensa.
Conocida la cadena secuencia de cdigos/bytes a buscar se realiza su
bsqueda con editor hexadecimal y se opera segn sea el caso. Muy
usada para la deteccin de trucos Anti-debugging.
Por bsqueda de una secuencia de cdigos de operacin:
Sistemas de proteccin por tiempo

Los sistemas de proteccin por tiempo pueden operar de distintas formas:
1. El software comprueba si han transcurrido X das desde la
instalacin de s mismo, y si es as el software procede a su salida

inmediata o en el peor de los casos a su desinstalacin automtica.
Durante la salida / desinstalacin del software este puede mostrar
algn mensaje informando al usuario del hecho en cuestin. Puede que
el software vuelva a funcionar durante X das si se vuelve a instalar. Ej:
The evaluation period has expired...bla bla. Trans: Periodo de
evaluacin a terminado....bla bla.
2. El software comprueba si ha llegado a una fecha limite, si es as
procede de la misma manera que en el caso anterior. La diferencia est

en que el software dejar de funcionar a partir de una fecha
determinada y no funcionar si se vuelve a instalar.
Para burlar estos sistemas de proteccin deberemos tener en cuenta los
siguientes datos:
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
1. El software sabe cuando se instal por primera vez, por lo que
deber guardar esta informacin en algn lugar, probablemente en

algn archivo propio (usaremos Filemon) o en el registro de
Windows (usaremos RegMon).
2. El software debe comprobar la fecha actual, es decir la fecha en el
momento en el que el programa est siendo ejecutado, y hacer los

para comprobar los das que han pasado o
si es la fecha lmite. Para esto dispone de las funciones de fecha /
tiempo del API de Windows siguientes:
correspondientes clculos
VOID GetSystemTime(LPSYSTEMTIME
lpSystemTime );
VOID GetLocalTime(LPSYSTEMTIME
lpSystemTime );
Estas dos funciones pasan un puntero a una estructura de tipo

SYSTEMTIME con la siguiente definicin:
typedef struct SYSTEMTIME {
WORD
WORD
WORD
WORD
WORD
WORD
WORD
WORD
} SYSTEMTIME;
wYear;
wMonth;
wDayOfWeek;
wDay;
wHour;
wMinute;
wSecond;
wMilliseconds;
La funcin GetTickCount retorna el nmero de ticks

transcurridos desde el arranque del ordenador, puede ser usada
para controlar el tiempo de ejecucin de una rutina, con esto
podran saber si hay alguien trazando el cdigo:)
DWORD GetTickCount(VOID)
Algunos programas que usan las MFC (Microsoft Foundation
Classes) utilizan la siguiente funcin para calcular fechas:
double difftime( time_t timer1, time_t timer0
); //
Devuelve la diferencia entre dos tiempos en
segundos.
El PaintShop Pro 5 por ejemplo usa esta funcin. Para ms
informacin sobre estas funciones ver la gua de referencia del
API de Windows10.
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
Con esto en mente ya podemos deducir cual ser el mtodo a seguir para
burlar el sistema: poner breakpoints (BPX) en cada una de estas funciones y
trazar paso a paso a partir de donde se ejecut la funcin que provoc el BPX.
Tambin podemos usar el mtodo de las referencias a cadenas. Existen casos
en los que estos mtodos no nos servirn de mucho ayuda o simplemente no
nos facilitarn la tarea, estos casos se dan cuando el software est protegido
con algn sistema de proteccin comercial por tiempo como el TimeLock o
VBox. Este tipos de sistemas se basan en DLL's externas, por lo que ser ms
prctico el desensamblado y trazado de estas. En algunos casos simplemente
bastar parchear alguna funcin de la DLL para haber terminado con el
sistema de proteccin, con la ventaja de que todos los programas basados en
esa proteccin estarn automticamente desprotegidos (habremos crackeado
cientos de aplicaciones que ni siquiera conocemos:-) ).
Para ms detalles puedes leer mis tutoriales sobre cracking nmeros 1,5 y 6.
Sistemas de proteccin por banner o nags

Estos sistemas no son propiamente un sistema de proteccin, ms bien son
sistemas para molestar al usuario del software y recordarle que adquiera el
programa original, los "banners" se utilizan mucho en programas de
visualizacin o de retoque de fotografas, se trata de textos o imgenes que
tapan parcialmente el trabajo que estamos viendo/haciendo, impidindonos su
"correcta" visualizacin. Los "nags" son pantallas/cuadros de dilogo que
aparecen al inicio o al final de la aplicacin y estn activos hasta que el usuario
pulsa un determinado botn o hasta que se completa una cuenta atrs. Por lo
tanto para que exista un banner o un nag, este debe ser mostrado de alguna
manera, ahora slo nos queda saber como se muestran los nags, y como lo
hacen los banners.
1.
Lo primero sera identificar el

tipo de "nag", es un cuadro de dialogo ? es un cuadro de mensaje ? O es
otro tipo?. Esto lo podremos averiguar con facilidad si echamos una
mirada al estilo del "nag". Si hay 2 o menos botones, es probable que sea
un cuadro de mensaje, si no hay botones o hay ms de dos, probablemente
ser un cuadro de dilogo. Otra pista es mirar las opciones que hay escritas
en los botones, si dicen "Continuar", "Aceptar", "Cancelar", "OK", es
probable que sea un cuadro de mensaje, Otra posibilidad es fijarnos en los
iconos del cuadro, si vemos un signo de admiracin, de informacin o una
cruz en un circulo rojo, seguramente se trate de un cuadro de mensaje.
Tcnicas para hacer frente a los nags:
Anticipndonos a la creacin del cuadro de dilogo / mensaje.
Poniendo BPX en las siguientes funciones:
CreateDialogIndirectParamA /
CreateDialogIndirectParam
CreateDialogParamA /
CreateDialogParamW
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
DialogBox
DialogBoxIndirect
DialogBoxParam /
DialogBoxParamA /
DialogBoxParamW
EndDialog
MessageBeep
MessageBoxA / MessageBoxW
MessageBoxExA /
MssageBoxExW
MessageBoxIndirect /
MessageBoxIndirectA /
MessageBoxIndirectW
Estas funciones son las que Windows puede utilizar para crear
un cuadro de dilogo / mensaje, las cinco primeras son las ms
utilizadas, las cuatro ltimas son slo para cuadros de mensaje.
Para ms informacin sobre estas funciones ver la gua de
referencia
del
API
de
Windows.
Una vez localizada la
llamada al cuadro de dilogo/mensaje, procederemos a su
eliminacin, para ello lo ms habitual ser eliminar la llamada al
cuadro de dilogo/mensaje mediante NOP o instrucciones
similares (INC EAX, DEC EAX etc.). Es posible que despus
de la llamada al cuadro de dilogo, este retorne un valor el cual
la aplicacin deber procesar para as continuar su ejecucin,
por eso deberemos tener en cuenta este valor (el valor correcto
para que la aplicacin contine) y hacer que el
registro/memoria que contena dicho valor, siga valiendo igual
al eliminar la llamada al cuadro de dilogo. Esto lo podremos
lograr aprovechando el espacio que nos quede al eliminar la
llamada, o simplemente cambiando el salto que compruebe este
valor.
Por referencia a una cadena conocida
En ciertas
ocasiones, no podremos eliminar la llamada al cuadro de
dilogo / mensaje debido a que esta llamada est codificada
como una llamada indirecta (p.ej: call [ESI+EBX]) o cuando la
aplicacin usa la misma llamada para que se procese ms de un
cuadro de dilogo. Es de imaginar que si eliminamos esta
llamada, tambin estaremos eliminando otras posibles llamadas
a otros cuadros de dilogo que no sean el molesto "nag", como
un cuadro de dilogo de configuracin etc. La solucin no es
muy compleja: todos los cuadros de dilogo que la aplicacin
pueda generar deben estar identificados por un nmero ID,
o cadena que los identifica inequvocamente, sabemos que
Tcnicas avanzadas de eliminacin de nags:
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
todas las funciones de generacin de cuadros de dilogos

necesitan que este ID o cadena sea pasado/a como un
argumento a la funcin que no podemos eliminar, por lo que
podremos averiguar el ID del cuadro de dilogo que nos
molesta mirando los push previos a la llamada. Una vez
tengamos dicho ID podremos desensamblar la aplicacin con
el W32dasm, buscar el ID en la lista y hacer doble click sobre
este para el W32dasm nos lleve a las posibles referencias a este
ID, con esto podremos intentar eliminar / sustituir el cuadro
de dilogo. Para ms informacin puedes ver mi tutorial
nmero 8 en el se trata un caso prctico.
2. Tcnicas para hacer frente a los banners11:
podremos poner un BPX en las

siguientes funciones. Tenemos que ir con mucho cuidado con estas
funciones ya que son usadas por el GDI de Windows para pintar
los textos de los controles (botones, listas, etc.)
DrawText
DrawTextEx
ExtTextOut
TextOut
Si es un simple banner de texto
Si el banner es una imagen:
BitBlt
MaskBlt
PatBlt
Para ms informacin sobre estas funciones ver la gua de referencia del

API de Windows. Para ms informacin puedes ver mis tutoriales nmero
8 y 5 en ellos se tratan dos casos prcticos.
Sistemas de proteccin, CD Checks

Estos sistemas de proteccin comprueban que el CD del software se encuentra
en la unidad de CD-ROM cada vez que el software se ejecuta. Se utilizan para
evitar lo que se llaman CD-Rips (versiones recortadas de la versin original del
CD, sin intros, sin audio etc) usados por los piratas para introducir ms de un
juego en un slo CD. Estos sistemas no evitan que el CD-ROM pueda ser
duplicado, lo que significa que si introducimos una copia, el software
funcionar correctamente. Yo casi ni los considero un sistema de proteccin,
ms bien son un sistema de fastidiar al usuario obligndole a introducir el CD,
aunque el software no necesite ningn dato del CD para funcionar.
Personalmente me he encontrado con dos sistemas de este tipo, en el primer
sistema, el software identifica el CD-ROM mediante la etiqueta que este posee,
si el CD tiene la etiqueta esperada, el software continua su ejecucin. El
segundo mtodo, se basa en comprobar si existe un determinado archivo
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
dentro del CD-ROM, si el archivo existe, se continua con la ejecucin. La

dificultad de estos sistemas de proteccin se ve aumentada cuando el software
si que verdaderamente necesita los datos que hay en el CD para poder
continuar (intros, pistas de audio etc.).
1. Tcnicas utilizadas para hacer frente a los CD checks:
Anticipndonos a la deteccin de la unidad de CD:
Poniendo BPX en
las siguientes funciones:

AUINT GetDriveType(
LPCTSTR lpRootPathName //
direccin del cmino raz
);
Esta funcin es usada por windows para detectar el tipo de unidad pasada
como cadena en lpRootPathName, si retorna 5, la unidad es un CD-ROM,
a partir de aqu iremos trazando poco a poco hasta llegar a la
comprobacin del CD Recuerda que el BPX ser BPX GetDriveTypeA,
ya que es una funcin de 32 bits.
Anticipndonos a la deteccin de la etiqueta de la unidad
de CD: Poniendo un BPX en las siguientes funciones
BOOL GetVolumeInformationA(
LPCTSTR lpRootPathName, //
direccin del directorio raz del sistema
de archivos system
LPTSTR lpVolumeNameBuffer, //
direccin del nombre del volumen
DWORD nVolumeNameSize, //
longitud del buffer
lpVolumeNameBuffer
LPDWORD
lpVolumeSerialNumber, // direccin
del numero de serie del volumen
LPDWORD
lpMaximumComponentLength, //
direccin de la mxima longitud del
nombre del archivo del sistema
LPDWORD lpFileSystemFlags, //
direccin de los flags del sistema de
archivos
LPTSTR
lpFileSystemNameBuffer, //
direccin del nombre del archivo del
sistema
DWORD
nFileSystemNameSize // longitud del
10
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
buffer
);
GetVolumeInformationW
Estas funciones obtienen un puntero a
una cadena conteniendo la etiqueta del
volumen de la unidad especificada, a
partir de aqu es fcil buscar donde se
compara con la etiqueta vlida. La
funcin GetVolumeInformationW
obtiene la cadena en formato wide-char
(o eso creo).
Para ms detalle sobre este tipo de protecciones puedes echar un vistazo a mi
tutorial nmero 6 te aconsejo que te mires tambin la gua de referencia del
API de Windows.
Sistemas de proteccin anticopia

Los sistemas de anticopia no se exponen aqu ya que no sern tratados
en este manual, al menos inicialmente. Los interesados en este tema
visiten la pgina de Reversed Minds donde encontrarn explicacin
detallada y referencias sobre este tipo de proteccin.
11
G U I A
G E N E R A L
D E
C R A C K I N G
B A J O
W I N 3 2
En los captulos 2 y 3 se trata este tema.
Algunas nociones bsicas para empezar se dan en los captulos 2 y 3.
Debugger o depurador. Herramienta que se utiliza para localizar los fallos de un programa,
sea, para depurarlo. Tambin es la herramienta fundamental del cracker para el que los
fallos del programa lo constituyen sus medios de proteccin.
Las herramientas bsicas del cracking se exponen partir del captulo 4, y todas ellas podrn obtenerse
en los FTP`s asociados al curso.
Algunas de las webs clsicas del cracking. No son las nicas, aunque s algunas de las mejores. Para mi
gusto faltan muchas incluso mejores que estas.
Satlites espa: Se refiere a los llamados analizadores de archivos, que son programas que nos dicen con que
fue compilado un archivo. Se da detallada informacin de esto en el Volumen II.
Trazando: Del ingls Trace, seguir el rastro. Algunos decimos tracear. Significa correr un
fragmento de la aplicacin con un depurador, generalmente el SoftIce, que encontrareis
abreviado como Sice.
Parar el programa: Se refiere al mtodo de depuracin con Sice.
Breakpoint: Punto de ruptura. En Sice un breakpoint detiene la ejecucin del programa, la

congela (Ice), y nos muestra el valor de los registro y de la memoria justo en ese preciso
instante, as como las instrucciones que acaban de ejecutarse y las que vienen justo a
continuacin.
10
Manual de Referencia de las API de Windows. Imprescindible para el cracker medio. Viene en ingls y
en formato de ayuda, aunque muchas de estas se encuentran traducidas en las crackers notes en
espaol (Txeli) y actualmente se esta llevando a cabo un importante esfuerzo por parte de algunos para
traducir la mayora de estas (ver la pagina de Karpoff).
11
Banner: Del ingls, estandarte. Se refiere a esos molestos avisos que nos parece al correr una demo
indicndonos que debemos registrarnos. A menudo lo hacen aparentemente al azar, surgiendo de
improviso.
12
A L
Captulo
C R A C K I N G
Ensamblador I:
Conceptos Bsicos.
Wintermute
De entre los mltiples tutoriales de ensamblador que circulan por la red uno de los
mejores, por su contenido y claridad, es sin duda alguna el del Curso de
programacin de virus de Wintermute, de la pagina underground chatsubo
bar. Tengo que recomendar fuertemente la lectura de estos dos tutoriales de Asm que
para el newbie sern sin duda los ms provechosos de cuantos lea y para el cracker
medio sern tambin una agradable sorpresa si no los conoca. Debo agradecer el
descubrimiento de esta fascinante pgina a numit_or, cuyos continuos trabajos sobre
mR gANDALF
ingeniera inversa merecen el mximo respeto.
rogramar en ensamblador no es fcil, pero cuando se le coge el

tranquillo es extremadamente gratificante; ests hablando
directamente con la mquina, y aquello que le pides, ella lo hace. El
control, es absoluto... nada mejor pues, a la hora de programar virus
o cualquier tipo de aplicacin crtica.
Algunos conceptos previos

Procesadores CISC/RISC
Segn el tipo de juego de instrucciones que utilicen, podemos clasificar los
microprocesadores en dos tipos distintos:
- RISC: Aquellos que utilizan un juego reducido de instrucciones. Un ejemplo
de ello sera el ensamblador del Motorola 88110, que carece por ejemplo de
ms saltos condicionales que "salta si este bit es 1" y "salta si este bit es 0". Por
un lado se obtiene la ventaja de que en cierto modo uno se fabrica las cosas
desde un nivel ms profundo, pero a veces llega a hacer la programacin
excesivamente compleja.
13
E N S A M B L A D O R
I :
C O N C E P T O S
B S I C O S
- CISC: Son los que usan un juego de instrucciones ampliado, incluyndose en

esta clasificacin el lenguaje ensamblador de los 80x86 (el PC comn de Intel,
AMD, Cyrix...). Para el ejemplo usado antes, en el asm de Intel tenemos 16
tipos distintos de salto que abstraen el contenido del registro de flags y
permiten comparaciones como mayor que, mayor o igual que, igual, menor,
etc.
Little Endian vs Big Endian
Existen dos formas de almacenar datos en memoria, llamados Little Endian y
Big Endian. En el caso de los Big Endian, se almacenan tal cual; es decir, si
yo guardo en una posicin de memoria el valor 12345678h, el aspecto byte a
byte de esa zona de memoria ser ??,12h,34h,56h,78h,??
El caso de un Little Endian - y el PC de sobremesa es Little Endian, por
cierto -, es distinto. Byte a byte, los valores son almacenados "al revs", el
menos significativo primero y el ms significativo despus. Normalmente no
nos va a afectar puesto que las instrucciones hacen por si mismas la
conversin, pero s hay que tenerlo en cuenta si por ejemplo queremos acceder
a un byte en particular de un valor que hemos guardado como un valor de 32
bits (como sera el caso de 12345678h). En ese caso, en memoria byte a byte
quedara ordenado como ??,78h,56h,34h,12h,??.
Juego de registros de los 80x86

En las arquitecturas tipo 80x86 (esto es, tanto Intel como AMD o Cyrix, que
comparten la mayora de sus caractersticas en cuanto a registros e
instrucciones en ensamblador), tenemos una serie de registros comunes; con
algunos de ellos podremos realizar operaciones aritmticas, movimientos a y
desde memoria, etc etc. Estos registros son:
EAX: Normalmente se le llama "acumulador" puesto que es en l donde se
sitan los resultados de operaciones que luego veremos como DIV y MUL. Su
tamao, como todos los que vamos a ver, es de 32 bits. Puede dividirse en dos
sub-registros de 16 bits, uno de los cuales (el menos significativo, o sea, el de la
derecha) se puede acceder directamente como AX. A su vez, AX podemos
dividirlo en dos sub-sub-registros de 8 bits, AH y AL:
EBX: Aqu sucede lo mismo que con EAX; su divisin incluye subregistros
BX (16 bits), BH y BL (8 bits).
ECX: Aunque este registro es como los anteriores (con divisiones CX, CH y
CL), tiene una funcin especial que es la de servir de contador en bucles y
operaciones con cadenas.
14
I :
C O N C E P T O S
B S I C O S
EDX: Podemos dividir este cuarto registro "genrico" en DX, DH y DL;

adems, tiene la caracterstica de que es aqu donde se va a guardar parte de los
resultados de algunas operaciones de multiplicacin y divisin (junto con
EAX). Se le llama "puntero de E/S", dada su implicacin tambin en acceso
directo a puertos.
ESI: Se trata de un registro de 32 bits algo ms especfico, ya que aunque tiene
el sub-registro SI (16 bits) refirindose a sus bits 0-15, este a su vez no se
divide como lo hacan los anteriores en sub-sub-registros de 8 bits. Adems,
ESI va a servir para algunas instrucciones bastante tiles que veremos, como
LODSX, MOVSX y SCASX (operando origen siempre)
EDI: Aplicamos lo mismo que a ESI; tenemos un "DI" que son los ltimos 16
bits de EDI, y una funcin complementaria a ESI en estos MOVSX, etc (el
registro ESI ser origen, y el EDI, el operando destino).
EBP: Aunque no tiene ninguna funcin tan especfica como ESI y EDI,
tambin tiene su particularidad; la posibilidad de que se referencien sus bits 015 mediante el sub-registro BP.
EIP: Este es el PC (Program Counter) o Contador de Programa. Esto es, que
en este registro de 32 bits (que no puede ser accedido por mtodos normales)
se almacena la direccin de la prxima instruccin que va a ejecutar el
procesador. Existe tambin una subdivisin como "IP" con sus 16 bits menos
significativos como con EBP, EDI, etc, pero no lo vamos a tener en cuenta; en
un sistema como Linux o Windows se va a usar la combinacin CS:EIP para
determinar lo que hay que ejecutar siempre, y slo en sistemas antiguos como
MS-Dos se utiliza el CS:IP para ello.
ESP: Se trata del registro de pila, indicando la direccin a la que esta apunta
(que s, que lo de la pila se explica ms tarde).
Adems de estos registros, tenemos otros llamados de segmento, cuyo tamao
es de 16 bits, y que se anteponen a los anteriores para formar una direccin
virtual completa. Recordemos en cualquier caso que estamos hablando de
direcciones virtuales, as que el procesador cuando interpreta un segmento no
est operando con nada; simplemente se hace que direcciones de la memoria
fsica se correspondan con combinaciones de un segmento como puede ser CS
y un registro de direccin como puede ser EIP. La funcin de estos registros
de segmento es la de separar por ejemplo datos de cdigo, o zonas de acceso
restringido. As, los 2 ltimos bits en un registro de segmento indican
normalmente el tipo de "ring" en el que el procesador est corriendo (ring3 en
windows es usuario, con lo que los dos ltimos bits de un segmento reservado
a un usuario seran "11"... ring0 es supervisor, con lo que los dos ltimos bits
de un segmento con privilegio de supervisor seran "00")
CS es el registro de segmento de ejecucin, y por tanto CS:EIP es la direccin
completa que se est ejecutando (sencillamente anteponemos el CS indicando
que nos estamos refiriendo a la direccin EIP en el segmento CS).
15
I :
C O N C E P T O S
B S I C O S
SS es el registro de segmento de pila, por lo que tal y como suceda con

CS:EIP, la pila estar siendo apuntada por SS:ESP.
DS normalmente es el registro de datos. Poniendo ya un ejemplo de acceso
con la instruccin ADD (sumar), una forma de utilizarla sera "add
eax,ds:[ebx]", que aadira al registro EAX el contenido de la direccin de
memoria en el segmento DS y la direccin EBX.
ES, al igual que FS y GS, son segmentos que apuntan a distintos segmentos de
datos, siendo los dos ltimos poco utilizados.
Tenemos algunos otros registros, como el de flags que se detallar en un
apartado especfico (si se recuerda del captulo 1 la descripcin genrica,
contiene varios indicadores que sern muy tiles).
Finalmente, estn (aunque probablemente no los usaremos), los registros del
coprocesador (8 registros de 80 bits que contienen nmeros representados en
coma flotante, llamados R0..R7), el GDTR (global descriptor table) e IDTR
(interrupt descriptor table), los registros de control (CR0, CR2, CR3 y CR4) y
algunos ms, aunque como digo es difcil que lleguemos a usarlos.
La orden MOV y el acceso a

memoria
Usos de MOV
Vamos con algo prctico; la primera instruccin en ensamblador que vamos a
ver en detalle. Adems, MOV es quiz la instruccin ms importante en este
lenguaje si contamos la cantidad de veces que aparece.
Su funcin, es la transferencia de informacin. Esta transferencia puede darse
de un registro a otro registro, o entre un registro y la memoria (nunca entre
memoria-memoria), y tambin con valores inmediatos teniendo como destino
memoria o un registro. Para ello, tendr dos operandos; el primero es el de
destino, y el segundo el de origen. As, por ejemplo:
MOV EAX, EBX
Esta operacin copiar los 32 bits del registro EBX en el registro EAX (ojo, lo
que hay en EBX se mantiene igual, slo es el operando de destino el que
cambia). Ya formalmente, los modos de utilizar esta operacin son:
- MOV reg1, reg2: Como en el ejemplo, MOV EAX, EBX, copiar el
contenido de reg2 en reg1.
- MOV reg, imm: En esta ocasin se copia un valor inmediato en reg. Un
ejemplo sera MOV ECX, 12456789h. Asigna directamente un valor al
registro.
16
I :
C O N C E P T O S
B S I C O S
- MOV reg, mem: Aqu, se transfiere el contenido de una posicin de

memoria (encerrada entre corchetes) al registro indicado. Lo que est entre los
corchetes puede ser una referencia directa a una posicin de memoria como
MOV EDX, [DDDDDDDDh] o un acceso a una posicin indicada por un
registro como MOV ESI, [EAX] (cuando la instruccin sea procesada, se
sustituir internamente "EAX" por su contenido, accediendo a la direccin que
indica).
Tambin hay una variante en la que se usa un registro base y un
desplazamiento, esto es, que dentro de los corchetes se seala con un registro
la direccin, y se le suma o resta una cantidad. As, en MOV ECX,[EBX+55]
estamos copiando a ECX el contenido de la direccin de memoria suma del
registro y el nmero indicado.
Finalmente, se pueden hacer combinaciones con ms de un registro al acceder
en memoria si uno de ellos es EBP, por ejemplo MOV EAX,[EBP+ESI+10]
- MOV mem, reg: Igual que la anterior, pero al revs. Vamos, que lo que
cogemos es el registro y lo copiamos a la memoria, con las reglas indicadas
para el caso en que es al contrario. Un ejemplo sera MOV [24347277h], EDI
- MOV mem, imm: Exactamente igual que en MOV reg, imm slo que el
valor inmediato se copia a una posicin de memoria, como por ejemplo MOV
[EBP],1234h
Bytes, words y dwords

La instruccin MOV no se acaba aqu; a veces, vamos a tener problemas
porque hay que ser ms especfico. Por ejemplo, la instruccin que puse como
ltimo ejemplo, MOV [EBP],1234h, nos dara un fallo al compilar. El
problema es que no hemos indicado el tamao del operando inmediato; es
decir, 1234h es un nmero que ocupa 16 bits (recordemos que por cada cifra
hexadecimal son 4 bits). Entonces, escribimos los 16 bits que corresponden a
[EBP], o escribimos 32 bits que sean 00001234h?.
Para solucionar este problema al programar cuando haya una instruccin
dudosa como esta (y tambin se aplicar a otras como ADD, SUB, etc, cuando
se haga referencia a una posicin de memoria y un valor inmediato), lo que
haremos ser indicar el tamao con unas palabras especficas.
En el ensamblador TASM (el ms utilizado para Win32/Dos), ser con la
cadena byte ptr en caso de ser de 8 bits, word ptr con 16 bits y dword ptr con
32. Por lo tanto, para escribir 1234h en [EBP] escribiremos MOV word ptr
[EBP],1234h. Sin embargo, si quisiramos escribir 32 bits (o sea, 00001234h),
usaramos MOV dword ptr [EBP],1234h.
Usando el NASM para linux, olvidamos el "ptr", y los ejemplos anteriores se
convertirn en MOV word [EBP],1234h y MOV dword [EBP],1234h.
Recordemos, una vez ms, que un dword son 32 bits (el tamao de un
registro), un word 16 bits y un byte, 8 bits.
Referencia a segmentos
Cuando estamos accediendo a una posicin de memoria (y no ya slo en el
mbito del MOV), estamos usando tambin un registro de segmento.
Normalmente el segmento DS va implcito (de hecho, si en un programa de
17
I :
C O N C E P T O S
B S I C O S
ensamblador escribimos MOV DS:[EAX],EBX, al compilar obviar el DS:

para ahorrar espacio puesto que es por defecto). No obstante, podemos
indicar nosotros mismos a qu segmento queremos acceder siempre que
hagamos una lectura/escritura en memoria, anteponiendo el nombre del
registro de segmento con un signo de dos puntos al inicio de los corchetes.
Operandos de distinto tamao
Vale, tengo un valor en AL que quiero mover a EDX. Puedo hacer un MOV
EDX,AL?. Definitivamente no, porque los tamaos de operando son
diferentes.
Para solucionar este problema, surgen estas variantes de MOV:
- MOVZX (MOV with Zero Extend): Realiza la funcin del MOV,
aadiendo ceros al operando de destino. Esto es, que si hacemos un MOV
EDX, AL y AL vale 80h, EDX valdr 00000080h, dado que el resto se ha
rellenado con ceros.
- MOVSX (MOV with Sign Extend): Esta forma lo que hace es, en lugar de
0s, poner 0s o 1s dependiendo del bit ms significativo del operando de mayor
tamao. Es decir, si en este MOV EDX, AL se da que el bit ms significativo
de AL es 1 (por ejemplo, AL = 10000000b = 80h), se rellenar con 1s (en este
caso, EDX valdra FFFFFF80h). Si el bit ms significativo es 1 (por ejemplo,
AL = 01000000b = 40h), se rellenar con 0s ( EDX ser pues 00000040h).
MOVs condicionales
Una nueva caracterstica presente a partir de algunos modelos de Pentium Pro
y en siguientes procesadores de Intel, y en AMD a partir de K7 y posiblemente
K6-3, son los MOVs condicionales; esto es, que se realizan si se cumple una
determinada condicin. La instruccin es CMOVcc, donde "cc" es una
condicin como lo es en los saltos condicionales (ver ms adelante), p.ej
CMOVZ EAX, EBX.
No obstante, de momento no recomendara su implementacin; aunque
terriblemente til, esta instruccin no es standard hasta en procesadores
avanzados, y podra dar problemas de compatibilidad. Para saber si el
procesador tiene disponible esta operacin, podemos ejecutar la instruccin
CPUID, la cual da al programador datos importantes acerca del procesador
que est corriendo el programa, entre otras cosas si los MOVs condicionales
son utilizables.
Codificacin de una instruccin

Ahora que ya sabemos utilizar nuestra primera instruccin en lenguaje
ensamblador puede surgir una duda: cmo entiende esta instruccin el
procesador?. Es decir, evidentemente nosotros en la memoria no escribimos
las palabras "MOV EAX, EBX", sin embargo esa instruccin existe. Cmo se
18
I :
C O N C E P T O S
B S I C O S
realiza pues el paso entre la instruccin escrita y el formato que la

computadora sea capaz de entender?.
En un programa, el cdigo es indistinguible de los datos; ambos son ristras de
bits si no hay nadie all para interpretarlos; el programa ms complejo no
tendra sentido sin un procesador para ejecutarlo, no sera ms que una
coleccin de unos y ceros sin sentido. As, se establece una convencin para
que determinadas cadenas de bits signifiquen cosas en concreto.
Por ejemplo, nuestra instruccin "MOV EAX, EBX" se codifica as:
08Bh, 0C3h
Supongamos que EIP apunta justo al lugar donde se encuentra el 08Bh.
Entonces, el procesador va a leer ese byte (recordemos que cada cifra
hexadecimal equivale a 4 bits, por tanto dos cifras hexadecimales son 8 bits, o
sea, un byte). Dentro del micro se interpreta que 08Bh es una instruccin
MOV r32,r/m32. Es decir, que dependiendo de los bytes siguientes se va a
determinar a qu registro se va a mover informacin, y si va a ser desde otro
registro o desde memoria.
El byte siguiente, 0C3h, indica que este movimiento se va a producir desde el
registro EBX al EAX. Si la instruccin fuera "MOV EAX, ECX", la
codificacin sera as:
08Bh, 0C1h
Parece que ya distinguimos una lgica en la codificacin que se hace para la
instruccin "MOV EAX, algo". Al cambiar EBX por ECX, slo ha variado la
segunda cifra del segundo byte, cambiando un 3 por un 1. Podemos suponer
entonces que se est haciendo corresponder al 3 con EBX, y al 1 con ECX. Si
hacemos ms pruebas, "MOV EAX, EDX" se codifica como 08Bh, 0C2h.
"MOV EAX, ESI" es 08BH, 0C6h y "MOV EAX, EAX" (lo cual por cierto
no tiene mucho sentido), es 08Bh, 0C0h.
Vemos pues que el procesador sigue su propia lgica al codificar instrucciones;
no es necesario que la entendamos ni mucho menos que recordemos su
funcionamiento. Sencillamente merece la pena comprender cmo entiende
aquello que escribimos. Para nosotros es ms fcil escribir "MOV EAX, EBX"
puesto que se acerca ms a nuestro lenguaje; MOV recuerda a "movimiento",
al igual que "ADD" a aadir o "SUB" a restar. Al computador "MOV" no le
recuerda nada, as que para l resulta mucho mejor interpretar secuencias de
nmeros; la equivalencia entre nuestro "MOV EAX, EBX" y su "08Bh, 0C3h"
es exacta, la traduccin es perfecta y procesador y humano quedan ambos
contentos.
El sentido pues de este apartado es entender cmo va a funcionar cualquier
programa que escribamos en lenguaje ensamblador; cuando escribamos
nuestros programas, utilizaremos un compilador: una especie de traductor
entre la notacin en ensamblador que ms se parece a nuestro lenguaje con
instrucciones como "MOV EAX, EBX" y la notacin en bits, la que la
mquina entiende directamente. En realidad, podramos considerar que ambos
son el mismo lenguaje; la nica diferencia es la forma de representarlo.
Por supuesto, quien quiera meterse ms a fondo en esto puede disfrutar
construyendo instrucciones por s mismo jugando con estos bytes; es algo
interesante de hacer en virus cuando tenemos engines polimrficos, por
ejemplo. Hay, de hecho, listas muy completas acerca de cmo interpretar la
codificacin en bits que entiende la mquina, que pueden ser consultadas sin
19
I :
C O N C E P T O S
B S I C O S
problemas (en la propia web de Intel vienen toda una serie de tablas indicando
cmo se hace esto con todas y cada una de las instrucciones que entienden sus
procesadores).
Las operaciones lgicas

Las operaciones con registros se dividen en dos tipos: aritmticas y lgicas. A
las aritmticas estamos muy acostumbradas, y son la suma, la resta,
multiplicacin, divisin... las lgicas operan a nivel de bit, lo que las distingue
de las aritmticas (s "a nivel de bit" resulta algo oscuro, da igual, seguid
leyendo).
Aunque hayamos mencionado cules son estas operaciones lgicas en el
primer captulo, volvemos a repasarlas una a una y con detalle:
AND
El AND lgico realiza bit a bit una operacin consistente en que el bit
resultado es 1 slo si los dos bits con los que se opera son 1. Equivale a decir
que el resultado "es verdad" si lo son los dos operandos.
Actuar as con cada uno de los bits de los dos operandos, almacenando en el
de destino el resultado. Por ejemplo:
10001010
AND 11101010
-------10001010
La forma de utilizar el AND es muy similar al MOV que ya hemos visto;
algunas formas de utilizarlo podran ser AND EAX, EBX, o AND EAX,
[1234h], o AND ECX, [EDX], etc. El resultado se almacena en el operando
de destino, esto es, EAX en los dos primeros casos y ECX en el tercero.
OR
El OR lgico tambin opera bit a bit, poniendo el resultado a 1 s al menos
uno de los dos bits con los que operamos estn a 1, siendo lo mismo que decir
que el resultado es "cierto" si lo es al menos uno de sus constituyentes.
Almacenar, como el AND, el resultado en el operando de destino:
10001010
OR 11101010
-------11101010
La forma de utilizarlo es el comn a todas las operaciones lgicas, como el
AND mencionado anteriormente.
20
I :
C O N C E P T O S
B S I C O S
XOR
La operacin XOR, operando bit a bit, da como resultado un 1 si uno y slo
uno de los dos bits con los que se opera valen 1, es por ello que se llama OR
exclusivo o exclusive OR:
10001010
XOR 11101010
-------01100000
NOT
Esta operacin slo tiene un operando, puesto que lo que hace es invertir los
bits de este operando que evidentemente ser de destino:
NOT 11101010
-------00010101
Operaciones aritmticas
En los procesadores 80x86, tenemos una buena gama de operaciones
aritmticas para cubrir nuestras necesidades. Estas son, bsicamente:
ADD
ADD significa aadir. Tendremos con esta instruccin las posibilidades tpicas
de operacin; sobre memoria, sobre registros, y con valores inmediatos
(recordando que no podemos operar con dos posiciones de memoria y que el
destino no puede ser un valor inmediato). As, un ejemplo sera:
ADD EAX, 1412h
Algo tan sencillo como esto aade 1412h hexadecimal a lo que ya hubiera en
EAX, conservando el resultado final en EAX. Por supuesto podemos usar
valores decimales (s quitamos la h a 1412h, sumar 1412h decimal... creo que
no lo mencion, pero esto vale siempre, tanto para MOV como para cualquier
otra operacin lgica o aritmtica). Otros ejemplos podran ser ADD ECX,
EDI (sumar ECX y EDI y almacenar el resultado en ECX), ADD dword ptr
[EDX], ESI (coger lo que haya en la direccin de memoria cuyo valor indique
EDX, sumarle el valor del registro ESI y guardar el resultado en esa direccin
de memoria), etc.
SUB
21
I :
C O N C E P T O S
B S I C O S
Esta es la operacin de resta; las reglas para utilizarla, las mismas que las del
ADD. Tan slo cabra destacar el hecho de que si estamos restando un
nmero mayor a uno menor, adems de una modificacin en los FLAGS para
indicar que nos hemos pasado, lo que suceder es que al llegar a 0000 en el
resultado el siguiente nmero ser FFFF. Es decir, que al pasarnos por abajo
del todo el resultado comienza por arriba del todo.
Supongamos que queremos restar 1 - 2. El resultado no es -1, sino el mximo
nmero representable por la cantidad de bits que tuviramos. Vamos, que si
son 8 bits (que representan un valor entre 0 y 255), el resultado de 1 - 2 ser
255. Para los curiosos, este 255 en complemento a 2 equivale al -1, por lo que
s operamos en este complemento a 2 la operacin de resta tiene completo
sentido para los nmeros negativos.
Lo mismo sirve para el ADD cuando sumamos dos nmeros y el resultado no
es representable con el nmero de bits que tenemos. Si hiciramos 255 + 1 y el
mximo representable fuera 255 (o FFh en hexadecimal, usando 8 bits), el
resultado de 255 + 1 sera 0.
Como deca, las posibilidades para usar el SUB son como las del ADD, con lo
que tambin es vlido esto:
SUB EAX, 1412h
Los ejemplos mencionados con el ADD tambin valen: SUB dword ptr
[EDX], ESI va a restar al contenido de la direccin de memoria apuntada por
EDX el valor almacenado en ESI, y el resultado se guardar en esta direccin
[EDX]. SUB ECX, EDI restar al valor de ECX el de EDI, guardando el
resultado en el registro ECX.
MUL
Pasamos a la multiplicacin; aqu el tratamiento es un tanto distinto al que se
haca con la suma y la resta. Slo vamos a indicar un parmetro que va a ser un
registro o una direccin de memoria, y segn su tamao se multiplicar por el
contenido de AL (8 bits), AX (16) o EAX (32). El resultado se guardar
entonces en AX si se multiplic por AL, en DX:AX si se multiplic por AX, y
en EDX:EAX si se multiplic por EAX. Como vemos se utiliza para guardar
el resultado el doble de bits que lo que ocupan los operandos; as no se pierde
informacin si sale un nmero muy grande.
Veamos un ejemplo por cada tamao:
MUL CL: Coge el valor de CL, lo multiplica por AL, y guarda el resultado en
AX.
MUL word ptr [EDX]: Obtiene los 16 bits presentes en la direccin de
memoria EDX (ojo, que el tamao de lo que se escoge lo indica el "word ptr",
EDX slo indica una direccin con lo que aunque sean 32 bits esto no influye,
el tamao, repito, es determinado por el "word ptr"). Una vez coge esos 16
bits los multiplica por AX, y el resultado se va a guardar en DX:AX. Esto
significa, que los 16 bits ms significativos los guarda en DX y los 16 menos
significativos en AX. Si el resultado de la multiplicacin fuera 12345678h, el
registro DX contendra 1234h, y el registro AX, 5678h.
MUL ESI: Coge el contenido del registro ESI, y lo multiplica por EAX. El
resultado es almacenado en EDX:EAX del mismo modo en que antes se haca
con DX:AX, slo que esta vez tenemos 64 bits para guardarlo. La parte de ms
22
I :
C O N C E P T O S
B S I C O S
peso, ms significativa, se guardar en EDX, mientras que la de menor peso

ser puesta en EAX. Si el resultado de ESI x EAX fuera 1234567887654321h,
EAX contendra 87654321h y EDX 12345678h.
DIV
Por suerte, aunque a quien se le ocurri esto de los nombres de las
instrucciones fuera anglosajn, siguen parecindose bastante al castellano; la
instruccin DIV es la que se dedica a la divisin entre nmeros.
El formato de esta instruccin es muy similar al MUL, y va a tener tambin
tres posibilidades, con 8, 16 y 32 bits. En ellas, AX, AX:DX o EAX:EDX van
a dividirse por el operando indicado en la instruccin, y cociente y resto van a
almacenarse en AL y AH, AX y DX o EAX y EDX, respectivamente:
DIV CL: Se divide el valor presente en AX por CL. El cociente de la divisin
se guardar en AL, y el resto en AH. Si tenamos CL = 10 y AL = 6, al finalizar
la ejecucin de esta instruccin tendremos que CL no ha variado y que AH =
4 mientras que AL = 1.
DIV BX: Se divide el valor de DX:AX por el de BX. El cociente que resulte
de esto se guardar en AX, mientras que el resto ir en DX. El dividendo
(DX:AX) est formado de la misma manera en que lo estaba el un MUL el
resultado de una operacin: la parte ms "grande", los bits ms significativos,
irn en DX mientras que los menos significativos irn en AX.
DIV dword ptr [EDI]: El valor contenido en la combinacin EDX:EAX (64
bits) se dividir por los 32 bits que contiene la direccin de memoria EDI; el
cociente de la divisin se va a guardar en EAX, y el resto en EDX.
INC y DEC
Tan sencillo como INCrementar y DECrementar. Estas dos instrucciones slo
tienen un operando que hace al tiempo de origen y destino, y lo que hacen con
l es "sumar uno" o "restar uno":
INC AX: Coge el contenido de AX, le suma 1 y almacena el resultado en AX
DEC dword ptr [EDX]: Obtiene el valor de la posicin de memoria a la que
apunta EDX, le resta 1 y almacena all el resultado.
INC y DEC, como veremos cuando lleguemos a los saltos condicionales, se
suelen utilizar bastante para hacer contadores y bucles; podemos ir
decrementando el valor de un registro y comprobar cuando llega a cero, para
repetir tantas veces como indique ese contador un trozo de cdigo, una
operacin en particular.
Registro de estado (FLAGS) e

instrucciones de comparacin
Flags
23
I :
C O N C E P T O S
B S I C O S
Como ya vimos, hay un registro bastante especial que es el de flags; la

traduccin literal de esta palabra es "bandera", y lo que significa realmente es
que no se toma el valor de este registro como una cantidad en s misma, sino
que cada uno de sus bits significa algo en particular segn su valor sea 0 o 1. El
registro EFLAGS, de 32 bits, tiene como bits ms importantes los 16 menos
significativos (EFLAGS viene de Extended Flags, se aadieron 16 bits para
indicar algunas otras cosas).
La forma de acceder a estos registros ser de forma implcita cuando hagamos
saltos condicionales (por ejemplo, hemos hecho una comparacin entre dos
trminos y saltamos s son iguales; la instruccin JE, Jump if Equal,
comprobar por si misma el ZF o Zero Flag para ver si ha de saltar o no), y de
forma explcita con funciones de pila como PUSHF, POPF, PUSHFD y
POPFD, que sern explicadas en el apartado referente a la pila. De todas
formas, indicar ya que los nicos bits que se pueden modificar con un POPF
son los 11, 10, 8, 7, 6, 4, 2 y 0 (y los 12 y 13 s tenemos IOPL = 0, es decir,
nivel de administrador... estos 12 y 13 indican el nivel de ejecucin del
procesador).
En fin, veamos qu tiene que ofrecernos este registro:
Desglose del registro EFLAGS

Los bits que tienen puestos un "0" como indicador, no tienen funcin definida
y conservan siempre ese valor 0 (tambin sucede con el bit 1, que est a 1). Los
ms importantes, los vemos a continuacin:
- IOPL (12 y 13): IOPL significa "I/O priviledge level", es decir, el nivel de
privilegio en que estamos ejecutando. Recordemos que normalmente vamos a
tener dos niveles de privilegio que llambamos de usuario y supervisor, o ring3
y ring0. Aqu podemos ver en cul estamos; si los dos bits estn activos
estamos en ring3 o usuario, y si estn inactivos, en ring0 (slo pueden
modificarse estos bits de los flags si estamos en ring0, por supuesto).
- IF (9): El "Interrupt Flag", controla la respuesta del procesador a las
llamadas de interrupcin; normalmente est a 1 indicando que pueden haber
interrupciones. Si se pone a 0 (poner a 0 se hace directamente con la
instruccin CLI (Clear Interrupts), mientras que STI (Set Interrupts) lo
activa), se prohbe que un tipo bastante amplio de interrupciones pueda actuar
mientras se ejecuta el cdigo del programa (viene bien en algunas ocasiones en
que estamos haciendo algo crtico que no puede ser interrumpido).
- ZF (6): El Zero Flag, indica si el resultado de la ltima operacin fue 0.
Tngase en cuenta que si hemos hecho una comparacin entre dos trminos,
se tomar como si se hubiera hecho una operacin de resta; as, si los dos
trminos son iguales (CMP EAX, EBX donde EAX = EBX p.ej), se dar que
el resultado de restarlos es 0, con lo que se activar el flag (se pondr a 1). Tal y
24
I :
C O N C E P T O S
B S I C O S
como sucede con CF y OF, este flag es afectado por operaciones aritmticas
(ADD, SUB, etc) y de incremento/decremento (INC/DEC).
- CF (0): Carry Flag o Flag de Acarreo. En ocasiones se da un desbordamiento
en la operacin aritmtica, esto es, que no cabe. Si nos pasamos por arriba o
por abajo en una operacin (p.ej, con 16 bits hacer 0FFFFh + 01h), este
resultado no va a caber en un destino de 16 bits (el resultado es 10000h, lo cual
necesita 17 bits para ser codificado). As pues, se pone este flag a 1. Hay
tambin un flag parecido, OF (11) (Overflow Flag), que acta cuando en
complemento a 2 se pasa del mayor nmero positivo al menor negativo o
viceversa (por ejemplo, de 0FFFFh a 0000h o al revs). Tambin nos
interesar para ello el SF (7) o flag de signo, que estar activo cuando el
nmero sea negativo segn la aritmtica de complemento a dos (en realidad,
cuando el primer bit del resultado de la ltima operacin sea un 1, lo que en
complemento a 2 indica que se trata de un nmero negativo).
Otros, de menor importancia (se puede uno saltar esta parte sin
remordimientos de conciencia), son:
- ID (21): El Identification Flag, seala si se puede modificar que se soporta la
instruccin CPUID
- VM (17): Este flag controla si se est ejecutando en Virtual Mode 8086;
cuando est a 0 se vuelve a modo protegido (el modo virtual 8086 se usa por
ejemplo para ejecutar las ventanas Ms-Dos bajo Win32).
- DF(10): El "Direction Flag", va a indicar en qu direccin se realizan las
instrucciones de cadena (MOVS, CMPS, SCAS, LODS y STOS). Estas
instrucciones, que veremos ms adelante, actan normalmente "hacia
adelante". Activar este flag har que vayan "hacia atrs"; no hace falta
preocuparse ms por esto, ya se recordar. Tan slo aadir, que este bit se
activa directamente con la instruccin STD (Set Direction Flag), y se desactiva
(se pone a 0) con la instruccin CLD (Clear Direction Flag).
- TF (8): Es el "Trap Flag" o flag de trampa; se utiliza para debugging, y
cuando est activo, por cada instruccin que el procesador ejecute saltar una
interrupcin INT 1 (se utiliza para depuracin de programas).
- AF (4): Flag de acarreo auxiliar o "Adjust Flag". Se usa en aritmtica BCD;
en otras palabras, pasad de l ;=)
- PF (2): Es el flag de paridad; indica si el resultado de la ltima operacin fue
par, activndose (ponindose a 1) cuando esto sea cierto.
- VIP (20), VIF (19), RF (16), NT(14): No nos van a resultar muy tiles; para
quienes busquen una referencia, sus significados son "Virtual Interrupt
Pending", "Virtual Interrupt Flag", "Resume Flag" y "Nested Task".
Instrucciones de comparacin
Los flags son activados tanto por las instrucciones de operacin aritmtica
(ADD, SUB, MUL, DIV, INC y DEC) como por otras dos instrucciones
especficas que describo a continuacin:
- CMP: Esta es la ms importante; el direccionamiento (es decir, aquello con
lo que se puede operar) es el mismo que en el resto, y lo que hace es comparar
dos operandos, modificando los flags en consecuencia. En realidad, acta
como un SUB slo que sin almacenar el resultado pero s modificando los
flags, con lo que si los dos operandos son iguales se activar el flag de cero
25
I :
C O N C E P T O S
B S I C O S
(ZF), etc. No vamos a necesitar recordar los flags que modifican, puesto que
las instrucciones de salto condicional que usaremos operarn directamente
sobre si el resultado fue "igual que", "mayor que", etc, destaquemos no
obstante que los flags que puede modificar son OF (Overflow), SF (Signo), ZF
(Cero), AF (BCD Overflow), PF (Parity) y CF (Carry).
- TEST: Tal y como CMP equivale a un SUB sin almacenar sus resultados,
TEST es lo mismo que un AND, sin almacenar tampoco resultados pero s
modificando los flags. Esta instruccin, slo modifica los flags SF (Signo), ZF
(Cero) y PF (Paridad).
Saltos, y saltos condicionales

La ejecucin de un programa en ensamblador no suele ser lineal por norma
general. Hay ocasiones en las que querremos utilizar "saltos" (que cambien el
valor del registro EIP, es decir, el punto de ejecucin del programa).
Estos saltos pueden ser de dos tipos; incondicionados y condicionales.
Saltos incondicionados (JMP)
La instruccin JMP es la que se utiliza para un salto no condicional; esto,
significa que cuando se ejecuta una instruccin JMP, el registro EIP que
contiene la direccin de la siguiente instruccin a ejecutar va a apuntar a la
direccin indicada por el JMP.
Existen bsicamente tres tipos de salto:
- Salto cercano o Near Jump: Es un salto a una instruccin dentro del
segmento actual (el segmento al que apunta el registro CS).
- Salto lejano o Far Jump: Se trata de un salto a una instruccin situada en un
segmento distinto al del segmento de cdigo actual.
- Cambio de Tarea o Task Switch: Este salto se realiza a una instruccin
situada en una tarea distinta, y slo puede ser ejecutado en modo protegido.
Cuando estemos programando, lo normal es que utilicemos etiquetas y saltos
cercanos. En todo compilador, si escribimos la instruccin "JMP <etiqueta>",
al compilar el fichero la etiqueta ser sustituida por el valor numrico de la
direccin de memoria en que se encuentra el lugar donde queremos saltar.
Saltos condicionales (Jcc)
Un "Jcc" es un "Jump if Condition is Met". La "cc" indica una condicin, y
significa que debemos sustituirlo por las letras que expresen esta condicin.
Cuando el procesador ejecuta un salto condicional, comprueba si la condicin
especificada es verdadera o falsa. Si es verdadera realiza el salto como lo haca
con una instruccin JMP, y en caso de ser falsa simplemente ignorar la
instruccin.
A continuacin se especifican todos los posibles saltos condicionales que
existen en lenguaje ensamblador. Algunas instrucciones se repiten siendo ms
de una forma de referirse a lo mismo, como JZ y JE que son lo mismo (Jump
26
I :
C O N C E P T O S
B S I C O S
if Zero y Jump if Equal son equivalentes). En cualquier caso hay que tener lo
siguiente en cuenta:
- Las instrucciones de salto condicional ms comunes son JE (Jump if Equal),
JA (Jump if Above) y JB (Jump if Below), as como las derivadas de combinar
estas (por ejemplo, una N entre medias es un Not, con lo que tenemos JNE,
JNA y JNB... por otro lado, tenemos JAE como Jump if Above or Equal o
JBE, Jump if Below or Equal)
- Puede resultar extrao el hecho de que hay dos formas de decir "mayor que"
y "menor que". Es decir, por un lado tenemos cosas como JB (Jump if Below)
y por otro JL (Jump if Less). La diferencia es que Below y Above hacen
referencia a aritmtica sin signo, y Less y Greater hacen referencia a aritmtica en
complemento a dos.
- Hay un tercer tipo de salto condicional, que comprueba directamente el
estado de los flags (como pueda ser el de paridad). Entre ellos incluimos
tambin dos especiales; uno que considera si salta dependiendo de si el valor
del registro CX es 0 (JCXZ) y otro que considera si el valor de ECX es 0
(JECXZ).
Instruccin
Descripcin
Flags
Aritmtica sin signo
JZ, JE
Jump if Zero, Jump if Equal ZF = 1
Jump if Not Equal, Jump if
JNE, JNZ
ZF = 0
Not Zero
JA
Jump if Above
CF = 0 and ZF = 0
Jump if Not Above, Jump if
JNA, JBE
CF = 1 or ZF = 1
Below or Equal
Jump if Not Carry, Jump if
JNC, JNB, JAE Not Below, Jump if Above or CF = 0
Equal
JNBE
Jump if Not Below or Equal CF = 0 and ZF = 0
Aritmtica en complemento a 2
Jump if Not Above or Equal,
JNAE, JB, JC
CF = 1
Jump if Below, Jump if Carry
Jump if Greater or Equal,
JGE, JNL
SF = OF
Jump if Not Less
Jump if Less, Jump if Not
JL, JNGE
SF <> OF
Greater or Equal
Jump if Less or Equal, Jump
JLE, JNG
ZF = 1 or SF <> OF
if Not Greater
Jump if Not Greater, Jump if
JNG, JLE
ZF = 1 or SF <> OF
Less or Equal
Jump if Not Greater or Equal,
JNGE, JL
SF <> OF
Jump if Less
Jump if Not Less, Jump if
JNL, JGE
SF = OF
Greater or Equal
27
JNLE, JG
JNO
JNP
JNS
JO
JP, JPE
JPO
JS
JCXZ
JECXZ
I :
C O N C E P T O S
B S I C O S
Jump if Not Less or Equal,

ZF = 0 and SF = OF
Jump if Greater
Comprobacin directa de flags
Jump if Not Overflow
OF = 0
Jump if Not Parity
PF = 0
Jump if Not Sign
SF = 0
Jump if Overflow
OF = 1
Jump if Parity, Jump if Parity
PF = 1
Even
Jump if Parity Odd
PF = 0
Jump if Sign
SF = 1
Jump if CX is 0
CX = 0
Jump if ECX is 0
ECX = 0
Ejemplo de programacin con saltos condicionales

A estas alturas del curso de ensamblador, creo que estamos abusando mucho
de la teora; ciertamente esto es ante todo teora, pero no est de ms ver un
ejemplo prctico de programa en el que usamos saltos condicionales y
etiquetas. El programa escrito a continuacin, imita una operacin de
multiplicacin utilizando tan slo la suma, resolvindolo mediante el algoritmo
de que N * M es lo mismo que (N+N+N+...+N), M veces:
; Suponemos que EAX contiene N, y EBX, contiene M.
xor edx,edx ; Aqu vamos a almacenar el resultado final. La operacin xor
edx,edx hace EDX = 0.
LoopSuma:
; Esto, es una etiqueta
add edx,eax
; A EDX, que contendr el resultado final, le sumamos
el primer multiplicando
dec ebx
jnz LoopSuma ; Si el resultado de decrementar el multiplicando EBX es cero,
no sigue sumando el factor de EAX.
Un programa tan sencillo como este, nos dar en EDX el producto de EAX y
EBX. Veamos uno anlogo para la divisin:
; Suponemos que EAX contiene el dividendo y EBX el resto.
xor ecx,ecx
; ecx contendr el cociente de la divisin
xor edx,edx ; edx va a contener el resto de la divisin
RepiteDivision:
inc ecx
; incrementamos en 1 el valor del cociente que
queremos obtener
sub eax,ebx
; al dividendo le restamos el valor del divisor
cmp eax,ebx
; comparamos dividendo y divisor
jna RepiteDivision
; si el divisor es mayor que el dividendo, ya hemos
acabado de ver el cociente
28
I :
C O N C E P T O S
B S I C O S
mov edx,eax
Se ve desde lejos que este programa es muy optimizable; el resto quedaba en
EAX, con lo que a no ser que por algn motivo en particular lo necesitemos
en EDX, podramos prescindir de la ltima lnea y hacer que el cociente
residiera en ECX mientras que el resto sigue en EAX. Tambin sera intil, la
lnea "xor edx,edx" que pone EDX a cero, dado que luego es afectado por un
"mov edx,eax" y da igual lo que hubiera en EDX.
Hemos visto, adems, cmo hacer un bucle mediante el decremento de una
variable y su comprobacin de si llega a cero, y en el segundo caso, mediante la
comprobacin entre dos registros; para el primer caso vamos a tener en el
ensamblador del PC un mtodo mucho ms sencillo utilizando ECX como
contador como va a ser el uso de la instruccin LOOP, que veremos ms
adelante, y que es bastante ms optimizado que este decremento de a uno.
La pila
PUSH, POP y dems fauna
La pila es una estructura de datos cuya regla bsica es que "lo primero que
metemos es lo ltimo que sacamos". El puntero que indica la posicin de la
pila en la que estamos es el SS:ESP, y si pudiramos verlo grficamente sera
algo como esto:
Qu significa este dibujo? Que SS:ESP est apuntando a ese byte de valor
91h; los valores que vienen antes no tienen ninguna importancia (y dado que
esta misma pila es utilizada por el sistema operativo cuando se produce una
interrupcin, es improbable que podamos considerar "fijos" estos valores que
hayan en el lugar de las interrogaciones).
La primera instruccin que vamos a ver y que opera sobre la pila, es el PUSH,
"empujar". Sobre el dibujo, un PUSH de 32 bits (por ejemplo un PUSH
EAX) ser una instruccin que mover "hacia atrs" el puntero de pila,
aadiendo el valor de EAX all. Si el valor del registro EAX fuera de
0AABBCCDDh, el resultado sobre esta estructura de un PUSH EAX sera el
siguiente:
29
I :
C O N C E P T O S
B S I C O S
Un par de cosas a notar aqu: por una parte s, el puntero se ha movido slo (y
seguir movindose hacia la izquierda - hacia "atrs" - si seguimos empujando
valores a la pila). Por otra, quiz resulte extrao que AABBCCDDh se
almacene como DDh, CCh, BBh, AAh, es decir, al revs. Pero esto es algo
comn; cuando guardamos en alguna posicin de memoria un dato mayor a un
byte (este tiene cuatro), se van a almacenar "al revs"; este tipo de ordenacin,
se llama little endian, opuesta a la big endian que almacena directamente
como AAh BBh CCh DDh un valor as.
La instruccin PUSH, en cualquier caso, no est limitada a empujar el valor de
un registro: puede empujarse a la pila un valor inmediato (p.ej, PUSH 1234h),
y pueden hacerse referencias a memoria, como PUSH [EBX+12].
Otra instruccin bastante importante es PUSHF (y PUSHFD), que empujan
el contenido del registro de Flags en la pila (un buen modo de que lo podamos
sacar a un registro y lo analicemos). Como se indica en el grfico de los Flags
en su captulo correspondiente, PUSHFD empuja los EFlags (flags extendidos,
32 bits), y PUSHF los Flags (los 16 bits menos significativos de este registro).
Ahora, no slo querremos meter cosas en la pila, estara interesante poder
sacarlas y tal. Para ello, tambin tenemos una instruccin, el POP, que realiza
la accin exactamente opuesta al PUSH. En particular, va a aumentar el
puntero ESP en cuatro unidades y al registro o posicin donde se haga el POP,
transferir los datos a los que se apuntaba. En el caso anterior, volveramos a
tener el puntero sobre el 91h:
Ya no podemos fiarnos de que el contenido de posiciones anteriores sigue

siendo DDh,CCh,BBh,AAh. En cuanto el procesador haga una interrupcin
va a usar la pila para almacenar datos, luego sern sobrescritos. Si nuestra
orden hubiera sido un POP ECX, ahora ECX contendra el valor
0AABBCCDDh.
Otra cosa a tener en cuenta, es que la pila no es ms que una estructura
fabricada para hacernos ms fcil la vida; pero no es una entidad aparte, sigue
estando dentro de la memoria principal. Por ello, adems de acceder a ella
mediante ESP, podramos acceder con cualquier otro registro sin tener que
utilizar las rdenes PUSH/POP. Esto no es usual, pero es bueno saber al
menos que se puede hacer. Si en una situacin como la del ltimo dibujo
30
I :
C O N C E P T O S
B S I C O S
hacemos un MOV EBP, ESP y un MOV EAX, SS:[EBP], el registro EAX

pasar a valer 07A5F0091h.
Destacan tambin otras dos instrucciones: PUSHA y POPA. Estas
instrucciones lo que hacen es empujar/sacar mltiples registros (por si
tenemos que salvarlos todos, resultara un coazo salvarlos uno a uno).
Exactamente, estas dos instrucciones afectan a EAX, EBX, ECX, EDX, EBP,
ESI y EDI.
Subrutinas
Introduccin al uso de subrutinas
Es bastante comn utilizar subrutinas al programar; podemos verlas como el
equivalente a las funciones, de tal forma que se puedan llamar desde cualquier
punto de nuestro programa. Supongamos que nuestro programa tiene que
recurrir varias veces a un mismo cdigo dedicado, por ejemplo, a averiguar el
producto de dos nmeros como hacamos en el ejemplo de cdigo anterior
(vale, el ensamblador del 80x86 admite multiplicacin, pero repito que esto es
un ejemplo :P).
La instruccin que vamos a utilizar para "llamar" a nuestra funcin de
multiplicar, es el CALL. CALL admite, como es habitual, referencias directas
a memoria, a contenidos de registros y a contenidos de direcciones de
memoria apuntadas por registros. Podramos hacer un CALL EAX, un
CALL [EAX] o directamente un CALL 12345678h. Al programar,
utilizaremos normalmente un CALL <etiqueta>, que ya se encargar el
compilador de traducir a direccin inmediata de memoria.
Luego, dentro de la propia rutina tenemos que devolver el control al cdigo
principal del programa, esto es, al punto en el que se haba ejecutado un
CALL. Esto se hace mediante la instruccin RET, que regresar al punto en
que se llam ejecutndose despus la instruccin que venga a continuacin.
Como ejemplo con el cdigo anterior:
<cdigo de nuestro programa>
mov eax,<valor1>
mov ebx,<valor2>
call Producto
<resto de nuestro cdigo>
[...]
Producto:
LoopSuma:
31
I :
C O N C E P T O S
B S I C O S
add edx,eax
dec ebx
ret
Cmo funcionan CALL/RET
Cuando llamamos a una subrutina, en realidad internamente est pasando algo
ms que "pasamos el control a tal punto"; pensemos que se pueden anidar
todas las subrutinas que queramos, es decir, que pueden hacerse CALLs dentro
de CALLs sin ningn problema.
Por qu? Pues por la forma en que funcionan especficamente estas
instrucciones:
- CALL, lo que realmente est haciendo es empujar a la pila la direccin de
ejecucin de la instruccin siguiente al CALL, y hacer un JMP a la direccin
indicada por el CALL. As, al inicio de la subrutina la pila habr cambiado, y si
hiciramos un POP <registro>, sacaramos la direccin siguiente a la de desde
donde se llam.
- RET, lo que va a hacer es sacar de la pila el ltimo valor que encuentre
(ntese que no sabe que ese sea el correcto, con lo que si en medio de la
subrutina hacemos un PUSH o un POP sin controlar que est todo al final tal
y como estaba al principio, el programa puede petar), y saltar a esa direccin.
En caso de que no hayamos hecho nada malo, va a volver donde nosotros
queramos.
Jugar con esto nos va a ser muy necesario cuando programemos virus. Hay un
sistema muy standard de averiguar la direccin actual de memoria en que se
est ejecutando el programa (y que es necesario utilizar normalmente, a no ser
que lo hagamos por algn otro mtodo), que funciona como sigue:
call delta_offset
; normalmente este mtodo se llama "delta offset", que
hace referencia a esta direccin.
delta_offset:
pop ebp ; Ahora ebp tiene la direccin de memoria indicada por
"delta_offset" en el momento actual.
No abundar en ms detalles; slo, que esta es la mejor forma de saber cunto
vale el registro EIP, lo cual nos va a ser de bastante utilidad al programar.
Funciones avanzadas en CALL/RET
Para terminar, tenemos que hablar de la existencia de otra forma de RET que
es IRET, retorno de interrupcin; la trataremos en el siguiente apartado junto
con el uso de interrupciones por ser un tanto especial.
Por otro lado, a veces veremos una opcin que puede parecernos "extraa", y
es que a veces el RET viene acompaado de un nmero, por ejemplo, RET 4.
El nmero que viene junto con la instruccin, indica que adems de sacar el
valor de retorno de la pila tenemos que aumentar el valor del puntero de pila
32
I :
C O N C E P T O S
B S I C O S
en tantas unidades como se indique (tngase en cuenta que 4, p.ej, representan

32 bits, o sea, un registro).
Cul es el sentido de esto? Bien, una forma estndar de llamar a funciones
consiste en lo siguiente: si tenemos que pasarle parmetros, lo que hacemos es
empujarlos en la pila y despus llamar a la funcin. Leemos los valores de la
pila dentro de la subrutina sin cambiar el puntero de pila, y cuando queramos
regresar no slo queremos que el RET saque su direccin de retorno sino que
adems la pila aumente lo suficiente como para que la pila vuelva a estar en su
lugar, como si no hubiramos empujado los parmetros.
Es decir, pongamos que hacemos PUSH EAX y PUSH EBX y luego un
CALL <funcion>. En esta leemos directamente los valores empujados a la
pila con un MOV <registro>,[ESP+4] y MOV <registro>,[ESP+8] (s,
podemos leer as de la pila sin problemas y sin modificar ESP). Ahora, al
volver queremos que la pila se quede como estaba antes de ejecutar el primer
PUSH EAX. Pues bien, entonces lo que hacemos es escribir al final de la
subrutina un RET 8, lo que equivale a los dos registros que habamos
empujado como parmetros.
Como tampoco me voy a morir si lo hago, adaptar el cdigo anterior a esta
forma de hacer las cosas (que personalmente no es que me guste mucho pero
vamos, el caso es que se usa...)
<cdigo de nuestro programa>
mov eax,<valor1>
mov ebx,<valor2>
push eax
push ebx
call Producto
<resto de nuestro cdigo>
[...]
Producto:
mov eax,dword ptr [ESP+8]
mov ebx,dword ptr [ESP+4]
LoopSuma:
add edx,eax
dec ebx
ret 8
33
A L
Captulo
C R A C K I N G
Ensamblador II
Wintermute
Esta segunda parte sobre el lenguaje ensamblador versa sobre algunos aspectos ms
avanzados, como son las API`s , las dll`s, las instrucciones de cadena y otros temas
interesantes.
mR gANDALF
n este captulo vamos a presentar algunos conceptos avanzados en la

programacin en lenguaje ensamblador, como la relacin con la API.
Tambin, listar toda una serie de instrucciones que me parecen
importantes a la hora de programar, y que an no han sido
mencionadas. Todo, ir acompaado de ejemplos de cdigo, que a estas alturas
ya deberamos de saber manejar un poco.
Interrupciones y API
Introduccin
La API es la herramienta por la cual nos comunicamos con el sistema
operativo y las funciones que este tiene para hacernos la vida ms fcil. Una
operacin puede ser abrir un fichero, escribir sobre l, cambiar el directorio
actual o escribir en la pantalla.
Hay dos mtodos, que vamos a ver, en que se usan las API del sistema
operativo: Por interrupciones, pasando los parmetros en registros, como hace
Ms-Dos; Por llamadas a subrutina, como hace Win32; y un hbrido con
llamadas a interrupcin y paso de parmetros en pila, en el sistema operativo
Linux.
Interrupciones en MS-Dosi
Vale, lo primero que hay que tener en la cabeza es que en Ms-Dos *todo* se
hace a travs de interrupciones; y que distintas interrupciones llaman a
servicios orientados hacia algo distinto.
34
I I
Qu es una interrupcin software?. Se trata de un tipo muy especial de

llamada a una funcin del sistema operativo (o de otros programas residentes,
el sistema es bastante flexible). La instruccin para hacerlo es INT, y viene
acompaada siempre de un nmero del 0 al 255 (decimal), es decir, del 00h al
0FFh en hexadecimal.
Dnde se va la ejecucin cuando escribimos por ejemplo "INT 21h"? Bien,
en Ms-Dos, en la posicin de memoria 0000:0000 (en Ms-Dos usamos un
direccionamiento de 16 bits pero paso de explicarlo porque a estas alturas es
un tanto ridculo jugar con el Ms-Dos) hay una "Tabla de Vectores de
Interrupcin" o IVT. Esta IVT, contiene 256 valores que apuntan a distintas
direcciones de memoria, a las que va a saltar la ejecucin cuando se haga una
INT.
Entonces, si escribimos algo como "INT 21h", lo que va a hacer es leer en la
posicin de memoria 0000 + (21*4), el valor que hay, para luego pasar (como
si fuera un CALL, empujando en la pila la direccin de retorno) a ejecutar en
esa posicin de memoria. En realidad, la nica diferencia con un CALL es que
no le indicamos la direccin a la que saltar (el procesador la lee de la tabla de
interrupciones), y que adems de empujar el valor de la direccin de retorno,
se empuja tambin el registro de FLAGS.
Por ello, cuando se acaba de ejecutar el servicio solicitado de la interrupcin,
esta rutina no acaba en un RET, sino en lo que antes habamos mencionado,
en un IRET; la funcin de esta instruccin es sencilla: saca la direccin de
retorno y los flags, en lugar de tan slo la direccin de retorno.
Como ejemplo prctico, el tipo de funcin en Ms-Dos dentro de una
interrupcin suele indicarse en EAX, y los parmetros en el resto de registros
(EBX, ECX y EDX normalmente). Por ejemplo, cuando queramos abrir un
fichero como slo lectura tenemos que hacer lo siguiente:
mov ax, 3D02h
; el 3D indica "abrir fichero", y el 02h indica "en
lectura y escritura"
mov dx, offset Fichero
; Apuntamos al nombre del fichero
int 21h
; Ahora, se abrir el fichero (paso de explicar todava
qu es un handler xD)
Fichero:
db
'fichero.txt',0
Bueno, nos hemos encontrado (qu remedio) una cosa nueva de la que no
habamos hablado antes... esto de "db" significa "data byte", vamos, que
estamos indicando datos "a pelo", en este caso el nombre de un fichero. Y s,
hay una coma, indicando que despus de esos datos "a pelo" se ponga un byte
con valor cero (para delimitar el fin del nombre del fichero). DX va a apuntar a
ese nombre de fichero y AX indica la funcin... y voil, fichero abierto.
Destacar otra cosa: existen dos instrucciones que sirven para activar o
inhabilitar las interrupciones (ojo, que inhabilitar no las deshace por completo,
pero s impide la mayor parte; es til por ejemplo al cambiar los valores de
SS/SP para que no nos pete en la cara). CLI (CLear Interrupts) inhabilita las
interrupciones, y STI (SeT Interrupts) las activa.
35
I I
Otra cosa: se puede ver que no estoy usando registros extendidos, que uso AX
y DX en vez de EAX y EDX... en fin, recordad hace cunto que existe el MsDos y as respondis a la pregunta :-)
Y en fin, que esto es el sistema de interrupciones en Ms-Dos, que me niego a
volver a tocar porque es perder el tiempo: a quien le interese que escriba en un
buscador algo as como "Ralf Brown Interrupt List", que es una lista salvaje
que tiene todas las funciones habidas y por haber para interrupciones de MsDos. Las ms importantes estn dentro de la INT 21h, que controla cosas
como el acceso a ficheros (creacin, lectura/escritura, borrado...) y directorios.
La Int80h y Linux
En Linux pasa tres cuartas de lo mismo, pero todas las funciones del sistema
estn reunidas bajo una sola interrupcin, la 80h. Vamos a tener 256
posibilidades, que se indican en AL (bueno, podemos hacer un MOV
EAX,<valor> igualmente).
Hay algunas diferencias bsicas con el sistema de Ms-Dos. La primera es ms
"terica" y hace referencia a la seguridad. Cuando estamos ejecutando
normalmente, el procesador tiene privilegio de "usuario". Cuando llamamos a
la INT 80h, pasamos a estado de supervisor y el control de todo lo toma el
kernel. Al terminar de ejecutarse la interrupcin, el procesador vuelve a estar
en sistema usuario (y por supuesto con nivel de usuario el proceso no puede
tocar la tabla de interrupciones). Con Ms-Dos digamos que siempre estamos
en supervisor, podemos cambiar los valores que nos salga de la tabla de
interrupciones y hasta escribir sobre el kernel... pero vamos, lo importante, que
con este sistema, en Linux est todo "cerrado", no hay fisuras (excepto
posibles "bugs", que son corregidos, a diferencia de Windows).
Respecto al paso de parmetros, se utilizan por orden EBX, ECX, etc (y si la
funcin de interrupcin requiere muchos parmetros y no caben en los
registros, lo que se hace es almacenar en EBX un puntero a los parmetros.
mov eax, 05h
; Funcin OpenDir (para abrir un directorio
para leer sus contenidos)
lea ebx, [diractual]
; LEA funciona como un "MOV EBX, offset
diractual"; es ms cmodo.
xor ecx, ecx
int 080h
diractual:
db
'.',0
directorio actual, o sea, el '.'
Queremos
que
habr
el
Para ms informacin, recomiendo echar un vistazo a www.linuxassembly.org,

de donde tiene que colgar algn link hacia listas de funciones. Y tambin
cuidado porque aunque en Linux parece que todo est documentado hay
mucho que o no lo est o incluso est mal (si alguien se ha tenido que mirar la
estructura DIRENT sabr de qu le hablo, es ms difcil hacer un
FindFirst/FindNext en ASM en Linux que infectar un ELF xD)
36
I I
DLL's y llamadas en Windowsii

Bajo Win32 (95/98/Me/NT/etc) no vamos a utilizar interrupciones por
norma general. Resulta que la mayor parte de funciones del sistema estn en
una sla librera, "KERNEL32.DLL", que suelen importar todos los
programas.
DLL significa Librera Dinmica, y no solo tiene porque tener funciones
"bsicas" (por ejemplo, en Wininet.DLL hay toda una serie de funciones de
alto nivel como enviar/coger fichero por FTP). Lo que sucede es que cuando
un programa quiere hacer algo as (pongamos estas funciones de FTP) tiene
dos posibilidades: uno, las incorpora a su cdigo, y dos, las coge de una librera
dinmica. Cul es la ventaja de esto? Bien, cuando usamos una librera
dinmica no tenemos que tener diez copias de esa rutina en cada uno de los
programas compilados; al estar en la DLL, el primer programa que la necesite
la pide, la DLL se carga en memoria, y se usa una sla copia en memoria para
todos los programas que pidan servicios de ella.
En palabras sencillas; tenemos la funcin MessageBox, por ejemplo, que abre
una ventana en pantalla mostrando un mensaje y con algn botn del tipo OK,
Cancelar y tal. Qu es ms eficiente, tener una librera que sea consultada por
cada programa, o tener una copia en cada uno?. Si cada programa ocupa
100Kb de media y la librera 10Kb, al arrancar 10 veces el programa si
tuviramos el MessageBox en DLLs, el espacio en memoria sera de 1010Kb (y
en disco, igual). En caso de que no usramos DLLs y la funcin MessageBox
estuviera en cada programa, tendramos 1100Kb de memoria ocupada (y de
disco). Por cierto, que el Linux tambin usa libreras dinmicas, slo que para
programar en ASM sobre l normalmente nos va a sobrar con lo que tengamos
en la Int80h.
Volviendo al tema, la forma de llamar a una funcin de la API en Win32 es
como lo que comentbamos de paso de parmetros al final del apartado
dedicado a subrutinas. Todos los valores que han de pasrsele a la funcin se
empujan a la pila, y luego se hace un CALL a la direccin de la rutina. El
aspecto de una llamada a la API de Win32 (exctamente a MessageBox), es as:
push MB_ICONEXCLAMATION
; El tipo de ventana a mostrar
push offset Azathoth
; Esto, el ttulo de la ventana que
va a aparecer.
push offset WriteOurText
; Y esto el texto de dentro de la ventana.
push NULL
call MessageBoxA
; Llamamos tras empujar los
parmetros, y luego seguimos ejecutando
<resto del cdigo>
WriteOurText: db 'H0 H0 H0 NOW I HAVE A MACHINE GUN',0 ;
El 0 delimita el final del texto.
Azathoth:
db
'Hiz :P',0
La mayora de las funciones que se van a utilizar estn en KERNEL32.DLL.
No obstantes hay otras, como USER.DLL, bastante importantes. Podemos
37
I I
ver si un ejecutable las importa si estn en su "tabla de importaciones" dentro

del fichero (es decir, que est indicado que se usen funciones de ellas). Una de
las cosas ms interesantes sobre este sistema, ser que podemos cargar DLLs
(con la API LoadLibrary) an cuando ya se haya cargado el programa, y
proveernos de servicios que nos interesen.
Una lista bastante interesante de funciones de la API de Windows est en el
tpico CD del SDK de Windows; puede encontrarse tambin por la Red, se
llama win32.hlp y ocupa ms de 20Mb (descomprimido).
Representacin de datos,
etiquetas y comentarios
Buena parte de lo que voy a explicar ahora ha aparecido irremediablemente en
ejemplos de cdigo anteriores; no obstante, creo que ya es hora de
"formalizarlo" y detallarlo un poco. As pues, hablemos de estos formalismos
utilizados en lenguaje ensamblador (tomar como base los del Tasm, algunos
de los cuales lamentablemente no son aplicables al Nasm de Linux):
Datos
La forma ms bsica de representar datos "raw", o sea, "a pelo", es usar DB,
DW o DD. Como se puede uno imaginar, B significa byte, W word y D
Dword (es decir, 8, 16 y 32 bits). Cuando queramos usar una cadena de texto que encerraremos entre comillas simples -, usaremos DB. As, son vlidas
expresiones como las siguientes:
db
00h, 7Fh, 0FFh, 0BAh
dw
5151h
dd
18E7A819h
db
'Esto tambin es una cadena de datos'
db
'Y as tambin',0
db
?,?,?
; as tambin... esto indica que son 3
bytes cuyo valor nos es indiferente.
Hay una segunda forma de representar datos que se utiliza cuando necesitamos
poner una cantidad grande de ellos sin describir cada uno. Por ejemplo,
pongamos que necesito un espacio vaco de 200h bytes cuyo contenido quiero
que sea "0". En lugar de escribirlos a pelo, hacemos algo como esto:
db
200h dup (0h)
Etiquetas
Ya hemos visto el modo ms sencillo de poner una etiqueta; usar un nombre
(ojo, que hay que estar pendiente con maysculas/minsculas porque para
ensambladores como Tasm, "Datos" no es lo mismo que "dAtos" o que
"datos"), seguido de un smbolo de ":". Cualquier referencia a esa etiqueta
38
I I
(como por ejemplo, MOV EAX,[Datos]), la utiliza para sealar el lugar donde
ha de actuar.
Pero hay ms formas de hacer referencias de este tipo; podemos marcar con
etiqueta un byte escribiendo el nombre y a continuacin "label byte" (etiquetar
byte). Un ejemplo (y de paso muestro algo ms sobre lo que se puede hacer)
sera esto:
virus_init
label byte
<cdigo>
<cdigo>
virus_end
label byte
virus_length equ
virus_end - virus_init
Parece que siempre que meto un ejemplo saco algo nuevo de lo que antes no
haba hablado... pero bueno, creo que se entiende; marcamos con label byte
inicio y fin del virus, y hacemos que el valor virus_length equivalga gracias al
uso de "equ", a la diferencia entre ambos (es decir, que si el cdigo encerrado
entre ambas etiquetas ocupa 300 bytes, si hacemos un "MOV EAX,
virus_length" en nuestro cdigo, EAX pasar a valer 300).
Comentarios
Conocemos en este punto de sobra la forma standard de incluir comentarios al
cdigo, esto es, utilizando el punto y coma. Todo lo que quede a la derecha del
punto y coma ser ignorado por el programa ensamblador, con lo que lo
utilizaremos como comentarios al cdigo.
Hay otro mtodo interesante presente en el ensamblador Tasm, que seala el
inicio de un comentario por la existencia de la cadena "Comment %". Todo lo
que vaya despus de esto ser ignorado por el ensamblador hasta que
encuentre otro "%", que marcar el final:
Comment %
Esto es un comentario
para Tasm
y puedes escribir
lo que quieras
entre los porcentajes.
%
Otras instrucciones importantes

En este apartado, veremos unas cuantas instrucciones que me ha faltado
mencionar hasta ahora y que son muy tiles a la hora de programar en
ensamblador. Para ver una lista completa recomiendo ir a www.intel.com y
buscar su documentacin (se encuentra en formato PDF). En el siguiente
apartado, el 5.4, menciono otras cuantas operaciones que pueden resultar
tiles, aunque no sean tan necesarias como estas.
CLC/STC
39
I I
Se trata de dos instrucciones que manejan directamente los valores del Carry
Flag. CLC significa CLear Carry (lo pone a cero como es de suponer) y STC
es SeT Carry (ponindolo a 1).
Instrucciones de desplazamiento lateral
Ya hemos visto como podemos operar con un registro o una posicin de
memoria con operaciones aritmticas (ADD, SUB, etc) y lgicas (AND, OR,
etc). Nos faltan pues las instrucciones de desplazamiento lateral, de las que hay
de dos tipos:
- Rotacin: Aqu tenemos ROL y ROR, que significa ROtate Left y ROtate
Right. El modo de funcionamiento es sencillo; si ejecutamos un ROR EAX,1,
todos los bits de EAX se movern un paso a la derecha; el primer bit pasar a
ser el segundo, el segundo ser el tercero, etc. Qu pasa con el ltimo bit, en
este caso el bit 32?. Bien, es sencillo, este bit pasar a ser ahora el primero.
En el caso de ROL, la rotacin es a izquierdas; viendo un caso prctico,
supongamos la instruccin ROL AL,2, donde AL valga 01100101. El resultado
de esta operacin sera 10010101. Se puede comprobar que se han movido en
dos posiciones los bits hacia la izquierda; y si alguno "se sale por la izquierda",
entra por la derecha.
- Desplazamiento aritmtico: Tenemos aqu a las instrucciones SHL y
SHR, es decir, SHift Left y SHift Right. La diferencia con ROL/ROR es
sencilla, y consiste en que todo lo que sale por la izquierda o por la derecha se
pierde en lugar de reincorporarse por el otro lado.
Es decir, si hacemos un SHL AL,2 al AL aquel que decamos antes y que vala
01100101, el resultado ser en esta ocasin 10010100 (los dos ltimos espacios
se rellenan con ceros). Es interesante notar que un SHL de una posicin es
como multiplicar por dos la cifra, dos posiciones multiplicar por 4, tres por 8,
etc.
De cadena
Existe toda una serie de instrucciones en el ensamblador 80x86 dedicadas a
tratar cadenas largas de bytes; en estas instrucciones vamos a encontrar algunas
como MOVSx, CMPSx, SCASx, LODSx y STOSx:
- MOVSx: La x (y lo mismo sucede con el resto) ha de ser sustituida por una
B, una W o una D; esto, indica el tamao de cada unidad con la que realizar
una operacin (B es Byte, 8 bits, W es Word, 16 bits, y D es Dword, 32 bits).
Cuando se ejecuta un MOVSx, se leen tantos bytes como indique el tamao de
la "x" de la direccin DS:[ESI], y se copian en ES:[EDI]. Adems, los
registros ESI y EDI se actualizan en consecuencia segn el "movimiento
realizado".
Es decir, que si tenemos en DS:[ESI] el valor "12345678h" y en ES:[EDI] el
valor "87654321h", la instruccin MOVSD har que en ES:[EDI] el nuevo
contenido sea ese "12345678h".
- CMPSx: En esta instruccin de cadena, se comparar el contenido del
byte/word/dword (dependiendo del valor de "x", segn sea B, W o D)
presente en la direccin DS:[ESI] con el de la direccin ES:[EDI],
40
I I
actualizando los flags de acuerdo a esta comparacin (como si se tratara de

cualquier otro tipo de comparacin). Como suceda antes, ESI y EDI se
incrementan en la longitud de "x".
- SCASx: Compara el byte, word o dword (segn el valor de "x") en ES:EDI
con el valor de AL, AX o EAX segn la longitud que le indiquemos,
actualizando el registro de flags en consecuencia. La utilidad de esta
instruccin, reside en la bsqueda de un valor "escaneando" (de ah el nombre
de la instruccin) a travs del contenido de ES:EDI (recordemos que, como
en las anteriores, EDI se incrementa tras la instruccin en el valor indicado por
la "x").
- LODSx: Carga en AL, AX o EAX el contenido de la direccin de memoria
apuntada por DS:ESI, incrementando luego ESI segn el valor de la "x". Es
decir, que si tenemos en DS:ESI los valores "12h, 1Fh, 6Ah, 3Fh", un
LODSB pondra 12h en AL, LODSW hara AX como 1F12h, y LODSD
dara a EAX el valor de 03F6A1F12h.
- STOSx: La operacin contraria a LODSx, almacena AL, AX o EAX (segn
lo que pongamos en la "x") en la direccin apuntada por ES:EDI,
incrementando despus EDI segn el valor de la "x". Ejemplificando, si por
ejemplo AX vale 01FF0h y ES:EDI es "12h, 1Fh, 6Ah, 3Fh", un STOSW
har que en ES:EDI ahora tengamos "F0h, 1Fh, 6Ah, 3Fh".
- REP: La potencia de las anteriores operaciones se vera mermada si no
contramos con una nueva instruccin, REP, que les confiere una potencia
mucho mayor. Este REP es un prefijo que se antepone a la operacin (por
ejemplo, REP MOVSB), y que lo que hace es repetir la instruccin tantas
veces como indique el registro ECX (cada vez que lo repite, se incrementar
ESI, EDI o los dos segn corresponda y se decrementar ECX hasta que
llegue a cero, momento en que para).
La utilidad es muy grande por ejemplo cuando queremos copiar una buena
cantidad de datos de un lugar a otro de memoria. Supongamos que tenemos
200h datos a transferir en un lugar que hemos marcado con la etiqueta Datos1,
y que queremos trasladarlos a una zona de memoria marcada por Datos2
como etiqueta:
lea esi,Datos1 ; la utilidad de LEA est explicada ms adelante; carga en ESI la
direccin de Datos1.
lea edi,Datos2 ; lo mismo pero con EDI.
mov ecx,200h ; Cantidad de datos a copiar
rep movsb
; Y los copiamos...
- STD/CLD: Aunque es de un uso escaso, hay un flag en el registro de
EFLAGS que controla algo relacionado con todo esto de las instrucciones de
cadena. Estamos hablando del "Direction Flag", que por defecto est
desactivado; cuando as es y se lleva a cabo alguna (cualquiera) de las
operaciones de cadena anteriormente especificadas, ESI y/o EDI se
incrementan de la forma ya mencionada. Sin embargo, cuando este flag est a
"1", activado, ESI y/o EDI en la operacin se decrementan en lugar de
incrementarse.
La funcin entonces de las dos instrucciones indicadas, STD y CLD, es la de
tener un control directo sobre sta cuestin. La orden STD significa Set
Direction Flag; pone a "1" este flag haciendo que al realizarse la operacin los
41
I I
punteros ESI y/o EDI se decremente(n). La orden CLD significa Clear

Direction Flag, y lo pone a "0" (su estado habitual), tornando en incremental
la variacin del valor de los punteros al llevarse a cabo las operaciones de
cadena.
LEA
El significado de LEA, es "Load Effective Adress"; calcula la direccin
efectiva del operando fuente (tiene dos operandos) y la guarda en el primer
operando. El operando fuente es una direccin de memoria (su offset es lo que
se calcula), y el destino es un registro de propsito general. Por ejemplo:
LEA EDX, [Etiqueta+EBP]: En EDX estar la direccin de memoria a la que
equivale Etiqueta + EBP (ojo, la direccin, NO el contenido).
LOOP
La instruccin LOOP es un poco como la forma "oficial" de hacer bucles en
ensamblador, y el porqu de que ECX sea considerado como "el contador".
Este comando tiene un slo parmetro, una posicin de memoria (que
normalmente escribiremos como una etiqueta). Cuando se ejecuta comprueba
el valor de ECX; si es cero no sucede nada, pero si es mayor que cero lo
decrementar en 1 y saltar a la direccin apuntada por su operando.
mov ecx, 10h ; Queremos que se repita 10h veces.
Bucle:
<codigo bucle>
<codigo bucle>
loop Bucle
Como es lgico, el loop actuar ejecutando lo que hay entre "Bucle" y l 10h
veces, cada vez que llegue al LOOP decrementando ECX en uno.
XCHG
La operacin XCHG, intercambia el contenido de dos registros, o de un
contenido de un registro y la memoria. Son vlidos, pues:
XCHG EAX,[EBX+12]: Intercambia el valor contenido en la posicin de
memoria apuntada por [EBX+12], y el registro EAX.
XCHG ECX, EDI
Existe una variante, XADD, que lo que hace es intercambiarlos igual, pero al
tiempo sumarlos y almacenar el resultado en el operando destino. Esto es:
XADD EAX,EBX: Lo que har es que al final EBX valdr EAX, y EAX, la
suma de ambos.
Otras instrucciones interesantesiii

Instrucciones a nivel de Bit
42
I I
A veces no queremos operar con bytes completos, sino quiz poner a 1 un

slo bit, a 0, o comprobar en qu estado se encuentra. Bien que esto se puede
hacer utilizando instrucciones como el AND (por ejemplo, si hacemos AND
AX,1 y el primer bit de AX no est activado el flag de Zero se activar, y no as
en otro caso), OR (los bits a 1 de la cifra con la que hagamos el OR activarn
los correspondientes del origen y un 0 har que nada vare), y de nuevo AND
para poner a cero (los bits del operando con el AND puestos a 1 no variarn, y
los 0 se harn 0...).
El caso, que tenemos instrucciones especficas para jugar con bits que nos
pueden ser tiles segn en qu ocasiones (un ejemplo de utilizacin se puede
ver en el cdigo de encriptacin de mi virus Unreal, presente en 29A#4). Estas
son:
- BTS: Bit Test and Set, el primer operando indica una direccin de memoria y
el segundo un desplazamiento en bits respecto a esta. El bit que toque ser
comprobado; si es un 1, se activa el carry flag (comprobable con JC, ya se
sabe) y si es 0, pues no. Adems, cambia el bit, fuera cual fuese en principio, a
un 1 en la localizacin de memoria indicada. Por ejemplo, un "BTS
[eax+21],16h" contara 16h bits desde la direccin "eax+21", comprobara el
bit y lo cambiara por un 1.
- BTR: Bit Test and Reset, como antes el primer operando se refiere a una
direccin y el segundo a un desplazamiento. Hace lo mismo que el BTS,
excepto que cambia el bit indicado, sea cual sea, por un 0.
- BT: Bit Test, hace lo mismo que las dos anteriores pero sin cambiar nada,
slo se dedica a comprobar y cambiar el Carry Flag.
- BSWAP: Pues eso, Bit Swap... lo que hace es ver el desplazamiento con el
segundo operando (el formato, como en las anteriores), y cambiar el bit; si era
un 1 ahora ser un 0 y viceversa.
- BSF: Bit Scan Forward, aqu vara un poco el tema; se busca a partir de la
direccin indicada por el segundo operando para ver cul es el bit menos
significativo que est a 1. Si al menos se encuentra uno, su desplazamiento se
almacenar en el primer operando. Es decir, si hacemos BSF EAX,[EBX] y
en EBX tenemos la cadena 000001xxx, EAX valdr 5 tras ejecutar esta
instruccin. Tenemos tambin una instruccin, BSR, que hace lo mismo pero
buscando hacia atrs (Bit Scan Reverse).
CPUID
Se trata de una instruccin que devuelve el tipo de procesador para el
procesador que ejecuta la instruccin. Tambin indica las caractersticas
presentes en el procesador, como si tiene coprocesador (FPU o Floating Point
Unit). Funciona en todo procesador a partir de 80486.
Dependiendo del valor de EAX devuelve cosas distintas:
- Si EAX = 0: Aqu lo que estamos haciendo es comprobar la marca. Por
ejemplo, con un Intel, tendramos EBX = "Genu", ECX = "ineI' y EDX =
"ntel". En el caso de AMD, tendremos EBX = "Auth", ECX = "enti" y EDX
= "cAMD".
- Si EAX = 1: En este caso, se intenta averiguar caractersticas de la familia del
procesador. En EAX, se devuelve la informacin de esta, as:
31-14: Sin usar
43
I I
13-12: Tipo de Procesador

11-8: Familia del Procesador
7-4: Modelo de Procesador
3-0: Stepping ID
Tambin en la web de Intel se puede encontrar informacin ms detallada a
este respecto. Reproduzco de todas formas, una tabla con los valores de
diferentes procesadores que saqu hace tiempo (es escasa y no tiene en cuenta
K6-3, K7 y Pentium III, pero sirve como muestra):
Familia
0100
0101
0101
0101
0110
0110
0110
0101
0101
Procesador
1000
0001
0010
0100
0001
0011
0101
0110
1000
Modelo
Intel DX4
Pentium (60-66 Mhz)
Pentium (75-200 Mhz)
Pentium MMX (166-200 Mhz)
Pentium II
Pentium II, model 3
Pentium II model 5 y Celeron
K6
K6-2
RDTSC
Esta instruccin, significa "ReaD TimeStamp Counter". Su funcin, es la de
devolvernos en el par EDX:EAX el "Timestamp" almacenado por el
procesador. Este contador es almacenado por el procesador y se resetea cada
vez que lo hace el procesador, incrementndose en una unidad cada vez que
sucede un ciclo de reloj. Por lo tanto, es obvia su utilidad como generador de
nmeros aleatorios, aunque por algn motivo que no alcanzo a comprender,
dependiendo de un flag en el registro interno CR4 (el flag TSD, Time Stamp
Disable) esta instruccin puede ser restringida para ser ejecutada en el modo
User del procesador (en la prctica, por ejemplo bajo Windows 98 la
instruccin no devuelve nada pues est deshabilitada en este flag, sin embargo
en Linux s lo da...).
Introduccin
matemtico
al
coprocesadoriv
Conceptos bsicos
El coprocesador matemtico o FPU (Floating-Point Unit) utiliza nmeros
tanto reales como enteros, y se maneja mediante instrucciones integradas en el
grupo comn que utilizamos; es decir, que simplemente tiene sus instrucciones
especficas que l va a utilizar.
44
I I
Los nmeros se representan normalizados, con 1 bit de signo, exponente y

mantisa. Me gustara poder explicar esto al detalle pero necesitara demasiado
espacio y no creo que resulte tan til... tan slo destacar que este es el tipo de
formato que se usa para representar nmeros reales, y se basa en que el primer
bit del registro indica el signo (0 es positivo, 1 negativo), otros cuantos bits (en
este caso 13) representan un exponente, y otros cuantos (64 esta vez) una
mantisa. Es decir, que por decirlo de una forma algo burda, para obtener el
nmero real deberamos coger la mantisa y elevarla a este exponente.
As, podemos ver que son 80 los bits que tiene cada registro de la FPU. Estos
registros son ocho en total, y sus nombres consisten en una R seguida de un
nmero, yendo desde R0 a R7.
La pila del coprocesador
La forma de acceder a los registros no es como en la CPU. Por decirlo de
alguna manera, se forma una pila de registros con estos ocho registros de
datos, operndose con el primero en esta pila (que llamamos ST(0)) y con
varias instrucciones para mover los propios registros del copro con este
objetivo.
Para referenciar en ensamblador a estos registros se har a traves de la
mencionada pila. Lo ms alto de la pila ser ese ST(0) - o simplemente, ST - , y
podemos hacer operaciones como la siguiente:
FADD ST, ST(2)
Por supuesto, el resultado de esta suma entre el primer y tercer valor de la pila
del coprocesador, almacenar el resultado en esta parte superior de la pila (ST),
desplazando al resto en una posicin hacia abajo (el anterior ST ser ahora
ST(1), y el ST(2) ser ahora ST(3)). El sistema puede resultar - y de hecho es algo lioso, pero todo se aclara si se utiliza un buen debugger y se comprueba a
mano lo que estoy diciendo, y cmo la FPU administra sus registros.
Ejemplo de una multiplicacin con la FPU
Como no me quiero entretener mucho con esto - que probablemente nadie
vaya a usar -, pasar dirctamente a utilizar un ejemplo bastante ilustrativo de
lo que sucede cuando estamos utilizando la FPU.
Pretendemos, en el ejemplo siguiente, llevar a cabo la operacin (10 x 15) +
(17 x 21):
fld
10
; Cargamos en ST(0) el valor 10
fmul 15
; Ahora 10 x 15 se almacena en ST(0)
fld 17
; ST(0) vale 17, y OJO, el resultado de 10x15 (150)
estar en ST(1)
fmul 21
; ST(0) pasa a valer 21 x 17, es decir, 191.
Tenemos pues que
;ST(0)=21x17=191 y ST(1)=10x15=150
fadd ST(1)
; Con esta instruccin aadimos a ST(0)(operando por
defecto) ST(1), luego
;acabamos teniendo ST(0) = (21x17)+(10x15) =
341, resultado final.
45
I I
Una referencia completa de las instrucciones utilizadas por la FPU (que son
muchas y permiten coger o guardar en memoria, transferir a un formato que
entiendan los registros del procesador y viceversa y unas cuantas operaciones
como incluso senos y cosenos), recomiendo echarle un vistazo a los manuales
de Intel - aunque son medianamente oscuros con el tema.
Ya prcticamente no se ven aplicaciones escritas para MS-DOS, por lo que esta seccin es meramente
anecdtica.
ii
En muchas ocasiones durante nuestras sesiones de crackeo necesitaremos saber que API`s hacen una
determinada tarea, p.ej, mostrar un cartelito diciendo que la contrasea introducida es incorrecta, e
incluso como lo hacen. Para documentarnos en esta materia disponemos de las Crackers Notes,
traducidas ya al espaol, con las API`s de uso ms frecuente, y la WIN32 SDK Reference help, mucho
ms completa, cuya traduccin se est llevando a cabo actualmente (para los que quieran colaborar
busquen en la seccin traducciones de la pgina de Karpoff).
iii
Muchas de estas instrucciones las veremos solo ocasionalmente. No es necesario conocerlas todas, ni
mucho menos saber como funcionan. Solo cuando se nos presente una duda al respecto de estas
instrucciones menos comunes ser interesante regresar aqu para documentarnos sobre su uso. La
mejor Biblia sobre ensamblador y la referencia ltima que pueden consultar en caso de apuro es la
monumental obra The Art of Assembly (www.webster.cs.ucr.edu/).
iv
En palabras del propio autor, de lectura opcional, ya que a estas alturas ms de uno puede estar
agonizando...
46
A L
Captulo
C R A C K I N G
The Tools of the Trade I:

W32Dasm 8.x
Urbanik
Wdasm es, generalmente, la primera herramienta que conoce el Newbie, la que le da
sus primeros xitos y la que probablemente seguir utilizando mucho tiempo por su
facilidad y rapidez de uso. Lo que se presenta en este capitulo es el tutorial que viene
con la ayuda del programa, y que muestra como es una sesin de depuracin de
Calc.exe (versin para Win95). La traduccin corre a cargo de noseman.
La revisin y composicin del texto fue hecha por mR gANDALF.
ste tutorial le llevara paso a paso a travs de una tpica

sesin de debugging usando el W32Dasm ver 8.xx . El
mejor camino para aprender es practicando, pero es
recomendable que usted siga este tutorial.
NOTA: Su computador debe estar a una RESOLUCION de 1024
x 768 x 256 colores como mnimo para proveer una ventana lo
suficientemente confortable para correr el debugger del W32Dasm.
Empezando:
Desensamblando
calc.exe
1.1 Abra el w32dasm.
1.2 Seleccione "Disassembler Options" del men de disassembler.
Aparecer una caja de dialogo.
47
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
Contiene las opciones Call Cross References, Conditional

Jumps, y UnConditional Jumps. Activando o desactivando estas
opciones podr incluir referencias en cada lnea de cdigo del
texto desensamblado que es referenciado por una instruccin de
Call o Jump.
Nota: activando estas opciones podr sustancialmente
incrementar el tiempo que toma para desensamblar un archivo.
1.3 Seleccione el botn "Open File to Dissassemble" del men
de la barra de
de disassembler presione el botn
herramientas.
1.4 Seleccione el archivo "calc.exe" que encontrara en el directorio
de windows1 y presione open para empezar el desensamblado
del archivo. W32Dasm ahora desensamblar calc.exe. Note el
tiempo que toma para desensamblar en comparacin con el
tiempo que tarda en el ejercicio 3.
Nota: Si el texto desensamblado aparece en la pantalla como
"Caracteres Basura", usted necesita seleccionar y salvar una
fuente por defecto que trabaje en su sistema. Para hacer esto,
seleccione Font del men Disassembler. Un segundo men
aparecer que tiene como opciones Select Font y Save Default
Font. Use Select Font para seleccionar una fuente que usted
crea que trabaje mejor en su sistema. Cuando elija la fuente
apropiada, marque Save Default Font para hacerla fuente por
defecto.
48
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
Guardando el texto
desensamblado y
creando un Project File
En este ejercicio usted guardar el texto desensamblado2 en un
archivo ASCII ".alf" el cual podr ser usado para recuperar
rpidamente el listado de cdigo sin hacer el proceso de
desensamblado (a esto se le denomina Project File). Los archivos
Project son especialmente tiles cuando usted analiza
repetidamente archivos largos que tardan mucho tiempo en
desensamblarse.
2.1 Seleccione "Save Dissassembly Text File and Create
Project File" del men de disassembler o presione el botn
de la barra de herramientas.
2.2 Aparecer la ventana "Guardar Archivo" con el nombre por
defecto para salvar el archivo desensamblado con una
extensin *.alf. El directorio por defecto para salvar estos
archivos
es
DRIVE:\W32DASM
DIRECTORY
NAME\WPJFILES, pero puede cambiarse.
Es recomendable que use la extensin y el directorio por
defecto. Cuando el archivo *.alf es creado, un archivo *.wpj
se crea automticamente. Estos dos archivos siempre deben
estar en el mismo directorio para funcionar correctamente.
Los archivos *.alf y *.wpj no deben ser modificados por el
usuario. Si usted quiere editar el texto desensamblado que
reside en el archivo *.alf, haga una copia y renombre el
archivo.
Presione aceptar para salvar el archivo desensamblado y el
Project file.
Abriendo un archivo
Project existente
En este ejercicio usted abrir el archivo Project "wpj" que fue
salvado en el ejercicio 2.
3.1 Seleccione "Open Project File" del menu Project. El
49
T H E
3.2
T O O L S
O F
T H E
T R A D E
I :
W D A S M
archivo calc.wpj aparecer en la ventana de seleccin.

Seleccione este archivo y presione aceptar.
El archivo desensamblado de calc.exe se abri. Note que el
tiempo en que se cargo el Project File fue mucho menor que
el tiempo que tard en desensamblarse en el ejercicio 1.0.
Navegando el texto
Desensamblado
En este ejercicio usted aprender como navegar a travs del texto
desensamblado usando las funciones de Search y Goto del
W32Dasm.
de la barra de
4.1 Goto Code Start: Presionando el botn
herramientas (cuarto desde la izquierda) o seleccionando
"Goto Code Start" del men Goto presionando Ctrl + S,
el listado desensamblado estar al principio del cdigo (Code
Start). La parte sombreada con azul es donde el listado es
enfocado. El usuario podr mover la parte sombreada
haciendo doble click en cualquier lnea de texto o
presionando las teclas arriba y abajo.
Note que el listado de cdigo del principio (Code Start) no
es necesariamente donde el programa empieza la ejecucin.
El punto de entrada de la ejecucin (o sea la del programa)
se llama Program Entry Point.
4.2
4.3
de la
Goto Program Entry Point: Presionando el botn
barra de herramientas (quinto desde la izquierda)
seleccionando "Goto Program Entry Point" del men de
Goto presionando F10, el texto desensamblado se situar
en el Program Entry Point. Este es el lugar donde el
programa empieza su ejecucin. Este es el sitio donde el
debugger automticamente parara cuando sea cargado con
algn programa.
de la barra de
Goto Page: Presionando el botn
herramientas (sexto desde la izquierda) seleccionando
"Goto Page" del men de Goto presionando F11,
aparecer una caja de dialogo donde teclear el numero de
pagina a la que se desea ir en el listado desensamblado.
50
T H E
4.4
4.5
T O O L S
O F
T H E
T R A D E
I :
W D A S M
de la barra
Goto Code Location: Presionando el botn
de herramientas (sptimo desde la izquierda) seleccionando
"Goto Code Location" del men de Goto presionando
F12, aparecer una caja de dialogo donde teclear la direccin
a la que se desea ir en el listado desensamblado.
La direccin debe ponerse en formato hexadecimal. Con el

archivo calc.exe cargado en el W32Dasm, cambie la
direccin que desea ir a 01006C07 y presione ok. El listado
ahora estar en la direccin 01006C07 que es una instruccin
JE 01006CAB. Fijese que el sombreado se torno verde. El
color verde indica que la instruccin JE es una instruccin
JUMP valida para ser ejecutada (Texto JUMP).
Ejecutando Text Jump: La Funcin Text Jump es solo
activada cuando una instruccin jump valida esta sombreada.
La parte sombreada se tornara verde y el botn Jump To de
la barra de herramientas estar activo.
51
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
de la barra de herramientas (octavo desde

Presionando el botn
la izquierda) seleccionando "Execute Jump" del men Execute
Text presionando la flecha derecha del teclado, el listado
desensamblado ir a la direccin indicada por la instruccin. En este
ejemplo ir a la direccin:01006CAB que es una instruccin CMP
DWORD PTR [01013D80], EBX.
52
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
Para regresar al sitio original vea el ejercicio 4.6

4.6 Regresar Del Ultimo Salto: La funcin Return From
Last Jump es solo activada cuando se ha hecho un Jump
de la barra de herramientas
(Flecha Derecha). El botn
se activara cuando esta condicin exista. Presionando el
(noveno desde la izquierda) de la barra de
botn
herramientas seleccionando "Return From Last Jump"
del men Execute Text presionando Ctrl + Flecha
Izquierda, el listado regresar a la direccin del ultimo salto
ejecutado.
4.7 Ejecutar un Text Call: La funcin Execute Text Call es
activada cuando una instruccin Call valida esta sombreada.
de la
La parte sombreada se tornar verde y el botn
barra de herramientas se activar cuando esta condicin
exista. La parte sombreada ahora estar verde y el botn de
la barra de herramientas se activara
de la barra de herramientas (dcimo
Presionando el botn
desde la izquierda) seleccionando "Execute Call" del men de
Execute Text presionando la Flecha derecha del teclado, el texto
desensamblado ahora ira a la localizacin especificada por la
instruccin call. En este ejemplo el listado ira a la direccin
01007387 que es una instruccin MOV EAX, DWORD
53
T H E
4.8
T O O L S
O F
T H E
T R A D E
I :
W D A S M
PTR [ESP+04]. Para retornar a la direccin original mirar el

ejercicio 4.8.
Retornar Desde la Ultima Call: La funcin Return From
Last Call es solo activada cuando una Execute Call se ha
de la barra de
hecho. (Ver ejercicio 4.7). El botn
herramientas se activara cuando esta condicin exista.
4.9
de la barra de herramientas
Presionando el botn
(decimoprimero desde la izquierda) seleccionando
"Return From Call" del men de Execute Text
presionando la Flecha Izquierda del teclado, el texto
desensamblado retornara a la direccin de la ultima Call
ejecutada.
Encontrando Funciones Importadas: Para buscar la lista
de las funciones importadas (imported functions) presione el
de la barra de herramientas (doceavo desde la
botn
izquierda) seleccionando "Imports" del men de
Functions. Aparecer una caja de dialogo:
Se mostrarn todas las funciones importadas (import

function references) encontradas en el cdigo por el
W32Dasm. Haciendo doble click en cualquiera de estos
items, el texto desensamblado ira a la localizacin de la
funcin.
NOTA: Puede haber mas de una referencia para la funcin
en el texto desensamblado. Haciendo doble click
54
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
repetidamente en la misma funcin ir a todas las referencias

de esa funcin. En este ejemplo, si hacemos doble click en el
primer tem Advapi32.RegCloseKey, el
texto
desensamblado ira a la direccin 01007260 que es una
instruccin CALL DWORD PTR [01001008]
La caja de dialogo de las funciones importadas tiene las
opciones Copy View y Copy All, si usted desea copiar el
texto visible o el contenido entero de la caja de dialogo a un
editor de texto es su opcin. Despus de presionar el botn
de copiar, vaya a su editor de texto y presione pegar para
copiar el texto.
4.10 Encontrando funciones exportadas: Para buscar las
funciones exportadas (exported functions) presione el botn
de la barra de herramientas (treceavo de la barra de
herramientas) seleccionando "Exports" del men de
functions. Una caja de dilogo aparecer con toda la lista de
las funciones importadas encontradas en el cdigo por el
W32Dasm. Haciendo doble click en cualquiera de esos
items, el texto desensamblado aparecer en la localizacin de
esa funcin.
NOTA: El archivo Calc.exe no tiene funciones exportadas,
por eso el botn no esta activado. Trate de desensamblar un
archivo .dll que siempre tiene funciones exportadas.
La caja de dialogo de las funciones exportadas tiene las
copiar el texto.
4.11 Encontrando Otras Referencias: Para buscar la lista de
, Dialog
String Data
referencias para Men
presione el botn correspondiente de la barra de
herramientas seleccione el tem correspondiente del men
de Reference. Una caja de dialogo aparecer con toda la lista
de las funciones encontradas en el cdigo por el W32Dasm.
Haciendo doble click en cualquiera de estos items, el texto
desensamblado aparecer en la localizacin de esa funcin.
Cada caja de dialogo del men de References tiene las
55
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M

copiar el texto.
Imprimiendo/Copiando el
texto Desensamblado
5.1
5.2
Imprimiendo: Presionando el botn

de la barra de
herramientas (el ultimo de la barra de herramientas)
seleccionando "Print" del men Disassembler, una
ventana de impresin aparecer preguntando que pginas
desea imprimir, las seleccionadas o todas las paginas del
texto desensamblado.
Imprimiendo/Copiando Lineas Seleccionadas Del
Texto: W32Dasm tiene las opciones de imprimir o
copiar lneas individuales del texto desensamblado. Para
seleccionar las lneas, haga click en el margen izquierdo
de la lnea del texto que desea imprimir/copiar. Un
pequeo punto rojo aparecer en la margen izquierda.
Para selecciones mltiples lneas, haga click de nuevo en
otra lnea que desea imprimir/copiar mientras presiona la
tecla Shift. Una serie de puntos rojos indican el rango de
las lneas seleccionadas.
56
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
Para Imprimir: Seleccione Print

en la barra de
herramientas del men de disassembler. Presione ok para
imprimir.
en la
Para Copiar: Seleccione Copiar Lneas Del Texto
barra de herramientas del men de disassembler. Usted ahora
puede usar la funcin de pegar en cualquier editor de texto.
Cargando una
Aplicacin de 32 bits en
el Debugger
En este ejercicio usted cargara e iniciara calc.exe en el debugger.
6.1 Desensamblar el programa Calc.exe.
6.2 Seleccione "Load Process" del men Debug presione
Ctrl + L. Aparecer una caja de dialogo que tiene la opcin
de introducir un comando adicional en el programa antes de
ser cargado. Por ahora solo presione LOAD. Calc.exe ahora
esta cargado en el debugger y la ventana principal del
W32Dasm se movi y adopt otro tamao mientras dos
nuevas ventanas de debugging (Ver figuras 1 y 2) se crearon.
Estas ventanas son llamadas Ventana inferior izquierda y
Ventana inferior derecha. Despus de inicializar el programa
calc.exe WDasm automticamente se situar en el Program
Entry Point. Para el archivo calc.exe se situar en la
direccin:010119E0. La Ventana inferior izquierda tiene
varias cajas que contienen los Registros, los Flags,
BreakPoints, Active DLLs, Code Segment Registers, Trace
History, Event History, User Set Memory Addresses, y Data
Displays. El Data Display 1 tiene cuatro formatos (Dword,
Word, byte, e Instruction) de los cuales usted podr elegir el
que mas le guste. El Source of Data es seleccionado por los
botones de la izquierda. El Data Display 2 muestra los
cuatro formatos de datos en un solo panel y adems tiene un
botn para seleccionar la direccin de la Data Display 1.
Tambin hay disponibles dos cajas para introducir
direcciones de memoria a las cuales quiere acceder. Esta
ventana tiene ms botones con funciones de debugging que
57
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
se explicaran mas adelante en este tutorial.
Fig 1. Lower Left Hand Debugger Window

La Ventana inferior izquierda tiene una ventana secundaria con
varios botones para debugging que sern explicados mas adelante.
58
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
Fig 2. Lower Right Hand Debugger Window.

Usted ahora esta listo para usar el debugger.
Corriendo, pausando y
terminando un
programa
En este ejercicio usted correr calc.exe desde el debugger, lo
pausara, y luego lo terminara.
7.1 Para correr calc.exe desde el debugger, presione el botn
Run en la Ventana inferior derecha presione F9. El
programa calc.exe aparecer normalmente. La Memoria, los
Registros y Flags son mostrados en la Ventana inferior
izquierda con varias opciones de mostrar los datos. La
informacin de los Active DLLs, BreakPoints, Trace
History, Event History y el Estatus del debugger son
mostrados en esta ventana.
Para pausar el programa calc.exe, presione el botn Pause
en la Ventana inferior derecha presione la Barra
espaciadora. Esta accin pausar la ejecucin del programa
donde sea que el programa muestre algn mensaje al tiempo
que usted presione pause. El lugar exacto donde el programa
se detiene depende mucho del programa y de la funcin que
estaba llevando a cabo cuando usted hizo pause. Una vez el
programa es pausado usted puede usar la opcin de seguir
paso a paso la ejecucin del programa (single stepping).
Para terminar el programa calc.exe usted puede usar el
procedimiento normal para cerrar un programa3 puede
presionar el botn Terminate en la Ventana inferior
derecha o Ctrl.-T. Cuando se usa la terminacin normal las
ventanas del debugger permacen abiertas y registran todos
los eventos pertinentes a la terminacin del programa.
Cuando usa Terminate usted recibir un mensaje de
advertencia sobre la terminacin el cual puede cancelar. Si
elige terminar el programa terminar y las ventanas del
debugger se cerraran automticamente.
59
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
Single Stepping
En este ejercicio usted usar las cuatro funciones del single
stepping en el debugger4.
8.1 Cargue de nuevo el programa calc.exe en el debugger.
8.2 Despus de que el programa cargue y pare en el Program
Entry Point, usted puede ejecutar cada instruccin del
programa usando los botones Single Step Into Single
Step Over en la Ventana inferior derecha. Las teclas F7 y F8
tambin pueden ser usadas. La diferencia entre Single Step
Into y Single Step Over es que el Single Step Into ejecutara
cada instruccin tal como aparece mientras el Single Step
Over "saltara" las funciones repetidas como REP MOVSB, y
tambin saltara las instrucciones Call (no entrara dentro de
ellas).
8.3 Mientras usted tracea paso a paso a travs del programa,
puede observar los cambios en los registros y en la memoria
cuando cada instruccin es ejecutada.
8.4 Los botones Auto Single Step Into (F5) y Auto Single
Step Over (F6) harn su respectiva funcin
automticamente. Para pararlos usted puede presionar los
botones Pause, Single Step Into, Single Step Over
Run.
Colocando y activando
BreakPoints a un
programa
En este ejercicio usted aprender como colocar un breakpoint y
como activarlo y desactivarlo.
9.1 Cargue el programa calc.exe en el debugger.
9.2 Usando la funcin Goto Code Location coloque la direccin
:01004FAB. Esta localizacin tiene como instruccin MOV
EAX, 0000012E. Usted pudo haber obtenido esta
instruccin usando la funcin Men Reference y haciendo
doble click en Menuid_006a, tem: "acerca de calculadora".
Esta instruccin es parte de la rutina que determina la
60
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
funcin seleccionada del men VIEW del programa calc.exe.

Mientras esta instruccin est sombreada usted puede
colocar un BreakPoint presionando la tecla F2 mientras se
presiona la tecla Ctrl hacer click izquierdo en la margen
izquierda (como cuando vamos a copiar pero con Ctrl). Si se
usa el mouse no requiere que la instruccin este sombreada.
Cuando se coloca un BreakPoint la margen izquierda se
tornara amarilla, indicando un BreakPoint.
Si la instruccin del BreakPoint no es la que esta sombreada, la

lnea entera se tornara amarilla. Note que la direccin del
BreakPoint se muestra en la Ventana inferior izquierda. Esta tiene
el smbolo * al lado de ella indicando que es un BreakPoint activo.
Presionando la tecla F2 mientras la instruccin donde est el

BreakPoint esta sombreada quitar el breakpoint. Tambin
se puede hacer con el Mouse como explicamos
anteriormente. Para el siguiente paso, dejar el breakpoint en
la direccin :01004FAB. Vuelva al texto desensamblado
donde est la instruccin actual (en este caso en el program
entry point), presionando el botn Goto Current Eip que
61
T H E
9.3
9.4
9.5
T O O L S
O F
T H E
T R A D E
I :
W D A S M
esta en la Ventana inferior izquierda. Este botn es un

camino fcil para ir a la instruccin actual despus de haber
navegado el texto desensamblado.
Ahora que el BreakPoint est puesto, presione el botn Run
(F9) para iniciar el programa calc.exe. Ahora seleccione
"acerca de calculadora" en el men de ayuda. El
debugger ahora parar la ejecucin del programa (break) en
la direccin :01004FAB.
Un Breakpoint puede desactivarse. Para hacer esto
seleccione la direccin del breakpoint en la caja de los
breakpoints y haga click Derecho. Cuando un breakpoint es
desactivado, el smbolo * desaparecer de la direccin del
BreakPoint y en el texto desensamblado pasara de amarillo a
verde oscuro.
El BreakPoint puede ser reactivado repitiendo la operacin

anterior. Si usted necesita desactivar todos los breakpoint
que haya puesto de una sola vez puede presionar el botn
DA que esta a la derecha de la lista de BreakPoints. Presione
el botn AA para activar todos los BreakPoints. Si usted
desea quitar (borrar) todos los BreakPoints, presione el
botn Clear. Un mensaje de advertencia aparecer para
confirmar la eliminacin de los BreakPoints.
Goto BreakPoint Location: Usted puede ir a la localizacin
de un BreakPoint rpidamente haciendo Doble Click
Izquierdo en el BreakPoint al que desea ir. El BreakPoint
62
T H E
9.6
T O O L S
O F
T H E
T R A D E
I :
W D A S M
puede estar activado desactivado para esta operacin.

Automatic Breaks On Event: Usted puede tener el
debugger configurado para parar la ejecucin del programa
cuando sucedan ciertos eventos como cuando un DLL es
cargado cerrado, cuando una lnea es creada cerrada,
cuando un Proceso es creado o cerrado. Esto es
configurable en las opciones que tiene la Ventana inferior
izquierda.
Estas cajas para seleccin pueden ser configuradas por el usuario

como opciones por defecto seleccionando lo que se quiere en el
Debugger Options del men de Debug.
Adjuntando a un
proceso activo (Active
Process)
En este ejercicio usted aprender como adjuntar al debugger un
proceso que esta corriendo actualmente en windows.
63
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
10.1 Empiece el programa calc.exe en windows.

10.2 Seleccione "Attach To An Active Process" del men de
Debug . Una caja de dialogo aparecer
Aparecer una lista con todos los procesos activos que se

estn corriendo en ese momento en Windows. Esta lista
contiene referencias de ambos programas de 16 bit y 32 bit.
Solo los programas de 32 bit pueden ser adjuntados. Pero,
algunos programas de 32 bis estan deshabilitados para
adjuntar porque son archivos importantes de Windows y si
se adjuntan pueden causar que el computador se bloquee. De
todas formas si usted quiere adjuntar estos programas, hay
una opcin que las habilita que esta en la parte superior
izquierda "Override Inhibit". Si usted activa esta opcin
podr adjuntar los programas que antes no poda. Ver la
ADVENTENCIA de abajo. La ventana tambin muestra
que mdulos (DLLs) son llamados y que Threads son
creados por el programa que selecciono en la lista de
programas.
10.3 Busque calc.exe en la lista y seleccinelo haciendo click sobre
l.
10.4 Presione el botn "Attach". El programa calc.exe ahora
ser cargado en el debugger. La principal diferencia entre
adjuntar y cargar un programa en el debugger es que
64
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
adjuntndolo el debugger no parara en el Program Entry

Point porque el cdigo del programa ha sido ejecutado antes.
Usted puede romper el programa presionando cualquier
botn de Single Step Pause.
ADVERTENCIA: Cuando un programa es adjuntado, este
terminara cuando el W32Dasm es cerrado. Cuando se
adjunta un archivo importante de Windows, asegrese de no
pausarlo terminarlo porque esto podra provocar que
windows no operara correctamente. Si esto pasa reinicie el
computador.
Modificar registros,
flags, memoria e
instrucciones
En este ejercicio usted aprender como modificar la registros, los
flags, las instrucciones y la memoria con el debugger.
11.1 Cargue el programa calc.exe en el debugger. No inicie el
programa (F9).
11.2 Presione el botn Modify Data que esta en la Lower Left
Hand Debugger Window. Una caja de dialogo aparecer
11.3 Modificar Flags: Para cambiar el valor de un Flag, hacer
click izquierdo en el flag que se desea modificar. Este
cambiara de 0 a 1 en cada click. Cuando un valor de un flag
no es el mismo que el valor original, este estar sombreado
en azul. Ninguna modificacin se ara mientras no presione el
botn "Modify". Restaurando El Valor Del Flag: En
cualquier momento antes de presionar el botn Modify,
usted puede Restaurar (RESET) todos los Flags al valor
original presionando el botn R en la caja de los Flags.
NOTA: El Flag T no puede ser modificado
11.4
65
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
.
11.5 Modificando Los Valores De Los Registros: Para
cambiar un valor de un registro, teclee el valor deseado en la
caja de "Enter Value". Dependiendo del modo que est
seleccionado en la caja de "Mode", usted tiene la opcin de
cambiar el registro DWORD (ej: eax) el registro WORD
(ej: ax) el registro BYTE (ej: ah, al). Presione el botn
designado para el registro que desea modificar. Los registros
cambiados aparecern sombreados en azul. Ninguna
modificacin se har mientras no presione el botn
"Modify".
Restaurando Los Valores De Los Registros: Cada
registro tiene un botn R para restaurarlo al valor original.
11.6 Modificando Valores En Memoria: Para cambiar un valor
en una localizacin en memoria (DWORD, WORD,
BYTE), introduzca el valor deseado en la caja de "Enter
Value" y teclee la direccin de memoria en la caja de dialogo
de Mem Loc. Despus presione el botn "Mem" para
66
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
modificarlo. Usted puede ajustar la direccin de memoria

presionando los botones Mem Loc Prev Mem. El valor en
la direccin de memoria puede aumentar rebajar por una
DWORD, WORD BYTE dependiendo del modo
seleccionado en la caja de mode. Ninguna modificacin se
har mientras no presione el botn "Modify". Las
direcciones especificadas en las cajas User Addr 1 y User
Addr 2 y Display 2 en la Ventana inferior izquierda pueden
ser modificadas presionando el botn apropiado en la caja de
dialogo de Modify Data.
Restaurando Los Valores En Memoria: En cualquier
momento antes de presionar el botn Modify, usted puede
Restaurar (RESET) el valor modificado al valor original,
presionando el botn R que corresponda a la que se desea
restaurar.
Modificando Instrucciones: Usted puede NOPear
cualquier instruccin de la EIP seleccionada mediante la
opcin "NOP Instruction @ EIP" antes de presionar el
botn Modify. W32Dasm automticamente determinara
cuantas instrucciones NOP debe insertar para nopear la lnea
entera. Para modificar instrucciones en otra direccin, use el
botn Code Patch en la Ventana inferior derecha. Esta
abrir una caja de dialogo Code Patcher. La direccin de la
instruccin(es) para parchear es determinada por la lnea que
este sombreada en la Ventana inferior derecha. Usted puede
cambiar la direccin: (1.) Usando las opciones de Single
Stepping, (2.) Usando el botn de Goto Address (3.)
Usando las opciones de arriba/abajo en la Ventana inferior
derecha. Una vez tenga sombreada la instruccin que quiera
cambiar, usted puede escribir las instrucciones en la caja de
Enter New Instruction Below. Cuando usted presione
enter, la nueva instruccin aparecer en la lista de la caja del
Code Patcher.
67
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
Si la instruccin es invalida est escrita incorrectamente no ser

admitida. Como una gua general, para saber si una instruccin es
vlida, mire la ventana principal del texto desensamblado, por
ejemplo. Algunas instrucciones requieren que un tamao (ej:
"dword ptr" "byte ptr") sea usado. Todos los valores numricos
deben estar en notacin hexadecimal. Para borrar la lista entera del
Code Patch, presione el botn Clear Patch. Para borrar solo la
ultima lnea en la lista del Code Patch, presione el botn Remove
Last Line. Cuando se modifique la instruccin usted necesita estar
seguro de que la instruccin a ser reemplazada cubra el mismo
numero de bytes que la nueva instruccin. Use la instruccin NOP
para cubrir los bytes que no son usadas por la nueva instruccin.
Cuando la nueva instruccin esta lista, usted puede ahora modificar
el programa presionando el botn Apply Patch. Aparecer una
caja de dialogo confirmando la accin. Si usted escoge "SI" el
programa sera modificado.
NOTA 1: Algunas modificaciones no se pueden hacer porque
algunas reas en memoria estn protegidas contra escritura, como
es el caso del rea de memoria del Kernel32.dll.
NOTA 2: Las modificaciones solo son mostradas en la Ventana
inferior derecha. La ventana principal del W32Dasm solo mostrar
los valores originales.
68
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
NOTA 3: las instrucciones modificadas son solo temporales. El

ejecutable original el archivo DLL no son modificados. Para
hacer los cambios permanentes use un editor Hexadecimal y
reemplaze en la localizacin adecuada. La localizacin de la lnea a
cambiar puede ser conocida mirando en el status5 de la ventana
principal del W32Dasm mientras la instruccin a cambiar este
sombreada. En el status se muestran varios valores pero para
encontrar la instruccin en el editor Hexadecimal solo necesitamos
el valor del Offset.
69
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
Explorando los mdulos

de llamadas (DLLs)
En este ejercicio usted aprender como usar el debugger con
archivos DLL. Los archivos DLL no pueden ser cargados por ellos
mismos en el debugger. Solo archivos ejecutables pueden ser
cargados en el debugger. Pero cualquier DLL llamado por el
ejecutable puede ser cargado en el debugger despus de que el
ejecutable es cargado en el debugger.
12.1 Cargue el programa Notepad.exe en el debugger y presione
F9 para iniciar el programa
12.2 Mire en la caja de listas de las Active DLLs en la Ventana
inferior izquierda. Esta caja tiene los nombres de todos los
DLLs que actualmente son cargados por el programa. Si
usted hace doble click en un nombre una caja de dialogo
aparecer dndonos informacin sobre el DLL. Esta caja de
dialogo da la opcin de desensamblar el DLL y adjuntarlo en
el debugger.
12.3 Presione "SI". Comdlg32.dll ahora esta desensamblado y
cargado. Si el archivo Comdlg32.dll ha sido desensamblado y
guardado el Project File anteriormente, el archivo Project
ser cargado. Esto ahorrar un poco de tiempo al
70
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
desensamblar el archivo.
12.4 Usted ahora puede usar el debugger en el DLL.

NOTA: A algunos DLLs como el KERNEL32.DLL no se les
puede colocar BreakPoints modificar sus valores en memoria
porque estn en una rea de memoria PROTEGIDA CONTRA
ESCRITURA.
de la barra de herramientas y haga
12.5 Presione el botn
doble click en GetOpenFileNameA. El texto
desensamblado ir a la direccin :7FE16112 que es una
instruccin PUSH EBP. Esta instruccin es el principio de
la funcin GetOpenFileNameA en el archivo Comdlg32.dll.
Ahora presione F2 para colocar un BreakPoint en esta
instruccin.
12.6 Ahora vaya al programa Notepad.exe e intente abrir un
archivo. El debugger parara el programa Notepad.exe y
rompi en la instruccin GetOpenFileNameA en la
direccin :7FE16112 en el archivo Comdlg32.dll.
Detalles de las API de

Windows
En este ejercicio usted aprender como usar las API de windows en
el W32Dasm.
13.1 W32Dasm tiene la opcin de mostrar al usuario detalles de
muchas de las funciones API de Windows. Todas los
programas usan generalmente funciones desde el
KERNELl32, ADVAPI32, SHELL32, COMCTL32,
71
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
COMDLG32, USER32, y GDI32. Pero hay opciones para

mostrar
Undocumented
Api
Details
(detalles
indocumentados de las api) y el proceso Local Function
Details (detalles de funciones locales) con un formato
genrico de datos. Los datos son mostrados en Hexadecimal
y en Strings. Cargue el programa calc.exe en el debugger
pero NO lo inicie (F9). Asegrese de que la opcin Enable
Api Details esta activada en la Ventana inferior derecha.
(esta opcin est activada por defecto). De todas formas
active la opcin Stop Auto On Api. Si esta opcin no est
activada la funcin de Auto Single Step continuar sin parar
cuando una funcin API es llamada.
NOTA: Para activar las opciones de Undocumented Api
Local Function Details, active las cajas correspondientes.
13.2 Ahora presione F5 para activar la funcin Auto Single Step
Into. (tambin puede usar el single step manual
presionando F7)
13.3 El debugger ahora estar en Auto Single Step Into hasta que
se encuentre con una funcin API que es __set_app_type
en la direccin :01011A0F. Una caja de dialogo aparecer que
muestra la API con el tipo de informacin y los valores
ingresados por la funcin API. Si se pulsa el botn Get Api
72
T H E
T O O L S
O F
T H E
T R A D E
I :
W D A S M
Result en esta caja de dialogo, la funcin API se iniciar y

retornara los resultados de la API en la caja de dialogo.
Usted puede usar el botn Copy Text para pegar el texto en

un editor de texto.
13.4 Presionando de nuevo F5 manualmente la funcin Single
Stepping har que la caja de dialogo de los detalles de la API
se minimice hasta que se encuentre con la siguiente API. La
funcin API Details puede ser desactivada en la Ventana
inferior derecha.
La versin que sigue este tutorial es la de Windows 95.
En muchos sitios lo veris nombrar como Listado Muerto.
Eligiendo la opcin Exit del programa si la tiene, p.ej, o pulsando sobre el aspa en la esquina superior
derecha de la ventan principal.
Hasta aqu hemos visto las funciones de listado muerto del Wdasm. Adems incluye utilidades de
traceo o depuracin propiamente dichas, poco usadas gracias al Sice.
Status es la ltima lnea del Wdasm, donde se muestra el offset de la lnea de cdigo sombreada.
73
INTRODUCCIN AL CRACKING
Captulo
The Tools of the Trade II:

Introduccin a SoftIce.
Mammon_ y Y@KR
Uno de los crackers ms famosos que an perduran en la red es Mammon_,
autor de algunos de los tutoriales ms ledos. Presentamos en este capitulo
una rigurosa traduccin al castellano de
su texto Introduction to using
SoftICE, en el que explica muy resumidamente buena parte de los manuales
de Numega Using SoftIce y Command Referencei. A modo de
aproximacin rpida para poder empezar a usar el programa hemos situado al
principio de este captulo unas lneas de la pgina de Y@KR. No hace
falta decir que estamos ante la HERRAMIENTA fundamental de la
ingeniera inversa de software y que de nuestro grado de conocimiento de
ella dependen buena parte de nuestras posibilidades de xito
Tank y mR gANDALF
Cmo instalo SoftICE?

Una vez que se complet el procedimiento de la instalacin de SoftICE, este
habr (con tu previo consentimiento) modificado tu autoexec.bat para
que SoftICE se cargue cuando inicies tu PC. Si instalas un Men de
Arranque (recomendado) deberas revisar tu autoexec.bat para asegurarse
de que este todo en orden. La lnea
C:\PROGRA~1\SOFTICE\WINICE.EXE
es la nica requerida en tu autoexec.bat para que SoftICE se cargue junto
con Windows, de lo contrario no se cargar. Obviamente los directorios
puede cambiar.
Despus de reiniciar, si presionas CTRL-D en Windows y SoftICE no
aparece, quiere decir que SoftICE no est activo o no se cargo
adecuadamente. Chequea tu autoexec.bat. Si SoftICE aparece, puedes
cerrar la consola presionando CTRL-D otra vez, o F5. Por lo tanto, CTRLD es el comando empleado para ver SoftICE.
74
The Tools of the Trade II: Introduccin a SoftIce.
Cmo configuro SoftIce?

Despus de que SoftICE ha sido exitosamente instalado, hay pocas formas
en las cuales necesitars o querrs configurarlo. Las opciones por omisin
son bastante pobres. Primero que nada, para poder establecer
breakpoints en API, necesitas tener los smbolos para los mdulos
correspondientes cargados en SoftICE. Puedes correr Symbol Loader y
cargar los mdulos manualmente, esto te salvar de tener que
reiniciar, pero solo cargar los smbolos durante la actual sesin de
Windows.
Una mejor idea es modificar winice.dat, para que los smbolos usados
comnmente sean cargados por omisin. Con agradecimiento, el staff de
Numega ha suministrado ya un juego decente y til de smbolos para
que sean cargados dentro del winice.dat, de cualquier forma solo estn
mencionados (no se cargan).
Para hacer que estos smbolos se carguen, abre winice.dat en cualquier
editor de texto. Desplzate hacia abajo hasta las lneas que empiezan con
';EXP=', y elimina el ';' del comienzo de cada lnea EXP. Si realmente
sabes lo que estas haciendo, querrs desmencionar una seleccin de
estos. Si eres un novato, deberas deseleccionar todas
las lneas que
comienzan con EXP.
(EJEMPLO) ;EXP=c:\windows\system\kernel32.dll <== De aqu, elimina
el ';' al comienzo de la lnea y as sucesivamente.
Mientras ests EDITANDO tu archivo winice.dat es recomendable que
agregues estas lineas:
EXP=c:\windows\system\msvbvm50.dll
EXP=c:\windows\system\msvbvm60.dll
Probablemente no emplees esto por el momento, pero estas lneas cargan los
smbolos para el MS VB Virtual Machine. Lo necesitars mas adelante, si
vas a crackear/depurar aplicaciones Visual Basic.
FAQ primeros pasos con el SoftIce

Cuando corro Symbol Loader, se me notifica "SoftIce is not active".
Que pasa?
SoftICE, sorpresivamente, esta inactivo ;)
Tal vez SoftICE no se esta cargando al arranque, porque no ha sido incluido
en el autoexec.bat (si es as, vase pregunta FAQ #1), o esta intentando
cargarse pero falla, en tal caso chequea paso a paso su secuencia de arranque y
busca cualquier error que pueda tener la configuracin de SoftICE. As
mismo, si acabas de instalar SoftICE, obviamente necesitas reiniciar antes de
que este pueda cargar.
75
SoftICE aparece cada vez que una aplicacin marca un GPF.

Como prevengo esto?
Por omisin, cada vez que un GPF [Falla de Proteccin General ('General
Protection Fault')] ocurre en Windows, SoftICE lo atrapar y la consola
aparecer, permitindote depurar el error. Esto puede ser muy irritante para
los novatos si no estn interesados en depurar el error.
Puedes desactivar este reconocimiento al escribir FAULTS OFF en
SoftICE, y luego presionando F5 para cerrar la consola. Una mucho mejor
idea es aadir FAULTS OFF en tu lnea INIT, en winice.dat, claro esta.
La lnea INIT en tu winice.dat contiene una secuencia de comandos ('scripts')
que SoftICE ejecuta automaticante cuando se carga. Este es el mejor lugar para
configurar tu consola de SoftICE, incluyendo el tamao de las ventanas y sus
posiciones.
Aqu hay algunos comandos que puedes aadir a tu lnea INIT. Hay muchos
ms. Lee el Manual que viene con SoftICE!!! ii
(Ejemplo)
INIT="FAULTS
OFF;
LINES
50;WC
20;WD
20;WL;WR;X;CODE ON;X;"
LINES XX
WD XX
WC XX
CODE ON|OFF
FAULTS ON|OFF
Establece la consola SoftICE con una altura XX.

Hace visible la ventana de datos, con una altura XX
lneas.
Hace visible la ventana de cdigo con una altura de
XX lneas.
Establece los codigos opcionales de cada
instruccin como visible|no visible
Establece SoftICE a permitirle|no permitirle
que atrape y muestre los GPFs
Cierra la consola de SoftICE. Tu lnea INIT debe
terminar con X; para que SoftICE no sea
inmediatamente visible cuando arrancas Windows.
Observa que X es equivalente a presionar F5
mientras SoftICE esta abierto, y no es lo mismo que
CERRAR el programa.
Los comandos de la lnea INIT estn separados por ';'. Pareciera que algunos
comandos solo funcionan cuando la consola de SoftICE es cerrada por
primera vez. Si encuentras algunos comandos que no estn siendo aplicados,
intenta ponerlos despus de la "X;" en tu lnea INIT. Puedes agregar otra
"X;" para volver a cerrar SoftICE.
76
Qu es un GPF (General Protection Fault)? En que consiste?

En Windows 3.1, cada de una computadora causada por la invasin,
por parte de un programa, del espacio de memoria de otro. Las cadas
relacionadas con GPFs son comunes en Windows 3.1 y en general en los
sistemas operativos con modo multitareas cooperativo, en el cual los
programas deben disearse muy cuidadosamente para que puedan coexistir en
la memoria de la computadora. Otros sistemas operativos ms recientes
como Windows 95, ofrecen multitareas por preferencias, modo en el cual el
sistema operativo interviene en los conflictos por espacio de memoria;
tales sistemas operativos ofrecen una operacin significativa ms confiable.
Vea Protected Mode y Real Mode
Dnde encuentro tutoriales sobre el uso y la configuracin de
SoftICE?
Uno de los mejores sitios con info sobre configuracin de SoftICE es
+Sandmans Code Reversing For Beginners. Ah, encontrars el Centro de
Recursos para SoftICE (SoftICE Resource Center), el cual contiene cada uno
de los tutoriales que necesitars para tener un conocimiento funcional acerca
de SoftIce
As mismo, obtengan una copia del Manual de SoftICE. Y cuando lo tengas,
asegrate de LEERLO !
Cmo establezco un Men de Arranque para opcionalmente
cargar SoftICE?
Agrega esto al inicio de tu config.sys:
inicia -->
MENU]
menuitem=ICE,SoftICE
menuitem=NOICE,No SoftICE - RECOMENDADO*
menudefault=NOICE,20**
[ICE]
[NOICE]
[COMMON]
<-- termina
*Puse el RECOMENDADO, porque en muchas ocasiones no somos
los nicos que empleamos la mquina y no queremos que nadie estropee
nuestro magnfico depurador cierto?
**Este nmero puede ser modificado segn la necesidad. Indica los
segundos que se tienen para escoger el CARGAR o NO SoftICE, pasado
este tiempo por omisin NO se cargar SoftICE.
77
Despus, agrega estas 3 lneas a tu autoexec.bat (recordando que debes

borrar cualquier referencia ya existente a winice.exe).
Inicia
IF %CONFIG%==NOICE GOTO NOICE
C:\PROGRA~1\SOFTIC~1\WINICE.EXE Aqui la raiz puede cambiar.
:NOICE
termina
Ahora, por si no lo sabas, cada vez que inicies tu mquina se te
preguntar si quieres CARGAR o NO SoftICE. Si no lo sabias
realmente deberas preocuparte ms por aprender sobre sistemas
operativos y el funcionamiento de las computadoras antes de aprender
sobre cracking.
Porqu obtengo "No Debug Information Found" cuando cargo un
mdulo dentro del Symbol Loader?
La informacin para depurar est incluida dentro de los mdulos cuando son
compilados, para acciones de futuro desarrollo.
Esto le permite a los depuradores integrados de lenguajes como
VC++/Delphi etc, que asocien el cdigo del objeto con el cdigo
fuente. Cuando una aplicacin es lanzada al mercado, la informacin para
depurar no suele ser incluida con el cdigo del objeto, ya que lo nico que le
provee a los usuarios normales es un archivo de mayor tamao. Si puedes
encontrar la informacin para depurar contenida en una aplicacin liberada,
entonces eso es excelente!, pero no te sorprendas porque no venga
incluidaiii. Eso no significa que puedas o no crackear la aplicacin,
y no es algo porque preocuparse. Ignora el mensaje de error y
prosigue normalmente.
SoftIce a fondo: Mammon_ `s

Tales to his Grandson
Configurar el Entorno
Soft-Ice tiene un archivo llamado WINICE.DAT que puede ser
modificado para configurar tu depurador para un uso ptimo. Todas
las opciones de configuracin pueden ser ingresadas desde la lnea de
comandos de Soft-Ice, por lo que puedes querer experimentar antes de
sobrescribir los valores predeterminados del programa. En general, las
Teclas de Funcin pueden dejarse sin modificacin, pero puedes
querer modificar las ventanas visibles, el tamao y el color de la pantalla,
los function export y la pantalla de cdigo. Los cambios pueden ser
agregados a la lnea INIT=X; en el archivo WINICE.DAT tal cual
78
como si fuera en la lnea de comandos, de forma que una cadena de

inicializacin podra ser INIT="Code ON;WR;lines 50;WC25;X;". Ten
en cuenta que las lneas init= solo pueden contener un nmero
limitado de caracteres, pero puedes especificar mltiples lneas init=
(siempre y cuando la ltima termine en X;).
Code ON|OFF : Code ON muestra el byte hexadecimal a continuacin del
listado desensamblado.
Color : Color es usado para ajustar los colores de pantalla. Los colores son
valores hexadecimales de cuatro bits. (por ejemplo: un valor de 1 a
16, o en hex de 0 a F: 0=negro 1=azul 2=verde 3=cyan 4=rojo
5=magenta 6=marrn 7=gris 8=gris oscuro 9=celeste A=verde claro
B=cyan claro C=rosa D=magenta claro E=amarillo F=blanco), y
cada ajuste de color es una combinacin de dos colores, la letra y el fondo
(de forma que 0F sera letras negras sobre fondo blanco). Las reas de la
pantalla que pueden ser ajustadas son normal (color del texto
normal), bold (color del texto en negrita o resaltado), reverse (color del
texto invertido o en negativo), help (color de la lnea de ayuda) y line (color
de las lneas horizontales). La sintaxis del comando color es color normal
bold reverse help line, de forma que color 7 F 71 30 2 sera lo siguiente:
texto normal gris sobre negro, texto en negrita blanco sobre negro, texto
en negativo azul sobre gris, la lnea de ayuda negra sobre cyan y las lneas
horizontales verde en blanco.
Exp : Muestra los export symbols de las DLLs y los EXEs. Este comando
es vital para entender un listado desensamblado ya que toma las
llamadas de Windows de las llamadas internas del programa as no te
pasas horas haciendo trace en Kernel32.dll. Escribir exp nombre del
mdulo cargar los smbolos de ese mdulo. Unas buenas opciones son
kernel32.dll/kernel.exe, user32.dll/user.exe y gdi32.dll/gdi.exe. Exp
tambin puede ser usado para mostrar los mdulos cargados actualmente
(exp /) y para listar los smbolos que coinciden con algn patrn (exp
delete debera listar todos los smbolos en los mdulos cargados que
comienzan con Delete). Ten en cuenta que es una buena idea cargar los
exports en Winice.dat ms que de la lnea de comando de Soft-Ice.
Faults ON|OFF : Faults ON hace que Soft-Ice sea invocado para manejar
los Errores de Proteccin General.
Lines # : Incrementa o decrementa el nmero de lneas (o el tamao de la
fuente) de la pantalla.
WC # : Habilita una ventana de cdigo de # lneas (Ej. WC 25).
WD # : Habilita una ventana de datos de # lneas (Ej. WD 15). Shift-F3
cambia el formato de los datos.
WR : Habilita la ventana de registros.
WW # : Habilita una ventana de vistas de # lneas (Ej. WW 5).
ALTKEY KeyCombo : Cambia el hotkey de Soft-Ice (Ej. "ALTKEY ALT
Z").
^ : El acento circunflejo ("^") hace que un comando sea ejecutado sin
mostrarse en la lnea de comandos.
; : El punto y coma simula que el usuario presiona la tecla "ENTER".
79
Aqu hay algunas lneas "init" de ejemplo de WINICE.DAT:

INIT="lines 60;code on;wd 13;wc 25;wr;wl;dex 1 ss:esp;faults off;color 80
8F 70 74 8F;X;"
INIT="ww 5;watch es:di;watch eax;watch *es:di;watch *eax;color 17 1F 90
98 1A;X;" INIT="set font 2;set origin 150 25;lines 50;wr;wl;wd 10;wc
20;color 07 0B 71 04 02;DEX 0 SS:ESP;X;"
Universal Video Driver: Soft-Ice 3.2 viene con un controlador de
video universal que puede ser utilizado virtualmente con cualquier tarjeta de
video. En lugar de cambiar entre modos grficos de texto, Soft-Ice aparece
como una ventana en el escritorio. Se le puede cambiar el tamao a la ventana
usando el comando lines 25|43|50|60, puede ser movida por la pantalla
usando las combinaciones CTRL-ALT-Flechas de direccin y puede ser
mas legible usando set font 0|1|2|3 para incrementar o decrementar
el tamao de la fuente (ten en cuenta que puede hacer falta cambiar el
tamao de la ventana usando el comando lines despus de cambiar el
tamao de la fuente). Ten en cuenta que la localizacin de la ventana
puede ser ajustada manualmente usando el comando set origin x
y (x 150 y 25 = centrada en una pantalla de 800x600).
Internal Variables: Soft-Ice usa un nmero de variables internas para
retener la informacin de los ajustes. Estas variables pueden ser
cambiadas en forma dinmica usando el comando set variable parmetro,
e incluir lo siguiente:
ALTSCR ( on|off, mueve la pantalla a un segundo monitor, monocromo)
CASESENSITIVE ( on|off, hace que los smbolos locales o globales
tengan sensibilidad a las Maysculas o Minsculas)
CODE ( on|off, muestra los bytecodes hexadecimales)
EXCLUDE ( on|off )
FAULTS ( on|off, captura Fallas de Proteccin General y de Paginado)
I1HERE ( on|off, hace que cualquier INT1 embebida invoque a SoftIce)
I3HERE ( on|off, hace que cualquier INT3 embebida [Ej. de una llamada
DebugBreak() de la API Win32] invoque a SoftIce)
LOWERCASE ( on|off, muestra el cdigo en minsculas)
MOUSE ( on|off 1|2|3, habilita el mouse, ajusta la velocidad del mouse de
1 (lento) a 3 (rpido) )
PAUSE ( on|off, realiza una pausa despus de cada vez que se llena la
pantalla en la ventana de comandos)
SYMBOLS ( on|off , usa la informacin de los smbolos)
TABS ( on|off 1|2|3|4|5|6|7|8 , ajusta el TAB cada 1-8 caracteres)
THREADP ( on|off )
VERBOSE ( on|off, muestra mensajes de diagnstico como "module
load/unload xxx )
Los ajustes actuales pueden ser vistos escribiendo set variable sin
parmetros.
Ajustes de Winice.dat Algunas variables pueden ser ajustadas en
winice.dat sin usar la lnea init. Estas incluyen los siguientes comandos.
(cortesa de THE OWL):
80
NOPIC2=on|off
NOLEDS=on|off (habilita/deshabilita la programacin de capslock y
numlock)
NOPAGE=on|off (habilita/deshabilita el mapeo de pginas no presentes)
NOCONTEXT=on|off
MACROS=number (nmero mximo de macros)
NMI on|off(captura Non-Maskable Interrupt-til con hardware breakout
switch)
VERBOSE=on|off (habilita/deshabilita mensajes de diagnstico)
KBD=on|off (parchea/no parchea el controlador de teclado)
LOWERCASE=on|off (habilita/deshabilita assembly en minsculas)
MOUSE=on|off (habilita/deshabilita el soporte de mouse)
THREADP on|off (habilita/deshabilita pasos especficos del thread)
EXCLUDE (parmetro de rango)
SIWVIDRANGE on|off
TRA=tamao (tamao del buffer de trace)
HST=tamao (tamao del buffer de historia de comandos)
LOAD=archivo (carga smbolos)
LOAD%= archivo
LOADX= archivo
LOADX%= archivo
LOAD32= archivo
LOAD32%= archivo
PHYSMB=tamao (cantidad de RAM del sistema)
PHONE=nmero (nmero telefnico para depuracin serial)
COM1=on|off (habilita el COM1 para depuracin serial; funciona para
COM2 y COM3
DINIT=cadena (DISCA la cadena de inicializacin para depuracin
serial)
ANSWER=cadena (CONTESTA la cadena de inicializacin para
depuracin serial) EXP=archivo (carga exports)
VDD
DDRAW
DRAWSIZE=tamao (tamao de la memoria de video en K)
MONITOR
WDMEXPORTS
DISPLAY=tipo (tipo es VIPE, S3, MACH32,MACH86, 0, o VD)
FAULTS=on|off (captura FPGs - Fallas de Proteccin General)
SYM=tamao (tamao de memoria reservado para smbolos)
LBRECORD=on|off (habilita/deshabilita la coleccin de mensajes de la
ltima rama --last-branch message collection)
Los macros pueden ser definidos en winice.dat ingresando la lnea
MACRO nombre=comandos (por ejemplo, MACRO Qexp="addr
explorer; Query %1"). Finalmente, los comandos de teclas de funcin pueden
ser ajustados usando la sintaxis key_combo="^comando;", como por ejemplo
SF1 = "^watch eax;" (ajusta Shift-F1 a "watch eax");. En esta sintaxis, A
significa ALT, C significa CTRL y S significa SHIFT
81
Traceando a travs del cdigo

BPRW modulo/selector [T|TW] [condiciones...] vii La idea de un
depurador es que se puede ir paso a paso a travs del cdigo del programa y
ver los cambios que se realizan a los registros, memoria, variables y banderas
(flags) que el programa utiliza. En general, querrs un Program Step o
paso de programa usando la tecla F10, salteando llamadas irrelevantes y
rutinas de servicio del Sistema Operativo (SO). Cuando encuentres una
seccin de inters, y cuyo cdigo quieres desensamblar a conciencia
(la mayora de las veces una parte del listado de ASM del desensamblador que
necesita clarificarseiv), vas a dar Single Step o pasos simples a travs del
cdigo usando la tecla F8 para ver exactamente que est haciendo el
programa. Es importante tener los export symbols cargados para las .DLL
de Windowsv, ya que a menos que ests depurando el kernel, no quieres
perder la pista de una llamada API estndar que pasa por varias
funciones y subfunciones de USER.EXE. Tambin puedes quedar atrapado en
una llamada de la que quieres salir desesperadamente, para lo que puedes usar
la tecla F12 para saltar hasta la prxima instruccin RET.
P : Ejecuta un paso de programa, ejecutando las llamadas como una
instruccin simple. Atajo: la tecla F10.
P RET : Ejecuta hasta que se encuentre una instruccin return. Atajo: la
tecla F12.
T : Ejecuta una instruccin. Atajo: La tecla F8.
Modo Back Trace
El modo Back Trace de Soft-Ice es malentendido a menudo, usualmente
a causa de su nombre. El modo Back Trace no tracea hacia atrs a
travs del cdigo, en realidad mantiene un buffer de instrucciones que son
almacenadas cuando se dispara un breakpoint (con el calificador T o TW).
El usuario entonces puede ver o tracear a travs de los comandos en el
buffervi (Ej: los registros que no cambiaron, las direcciones fuera del buffer
a las que no se puede saltar o llamar). El modo Back Trace es
controlado por cuatro instrucciones principales:
BPR inicio fin [T|TW] [condiciones...] : El comando BPR puede ser
usado con T o TW para ajustar un breakpoint que disparar una
escritura al buffer de trace cuando una direccin de memoria es
ejecutada o escrita. Ingresando BPR con las direcciones de inicio
y final del rango de memoria, seguido de T (para Back Trace en
ejecucin) o TW (para Back Trace en escritura de memoria) y
encapsulado por cualquier condicin para el Breakpoint, se instalar
un Breakpoint de rango de memoria que, en lugar de detener la
ejecucin, escribir cdigo al buffer de trace. Este buffer puede ser visto
con el comando SHOW, o traceado usando el comando TRACE.
BPRW modulo/selector [T|TW] [condiciones...] vii: El comando BPRW
puede ser usado con T o TW para ajustar un breakpoint que disparar
una escritura al buffer de trace cuando un mdulo de Windows o
selector
es ejecutado o escrito. Ingresando BPRW seguido del
82
nombre del mdulo o del selector a ser capturado, seguido por T (para
Back Trace en ejecucin) o TW (para Back Trace en escritura) y
encapsulado por cualquier condicin para el Breakpoint, se
instalar un Breakpoint de rango de memoria que escribir cdigo al
buffer de trace en lugar de detener la ejecucin (parecer que el
programa no se detiene, sin embargo esto es una ilusin). Este buffer
puede ser visto con el comando SHOW, o traceado con el comando
TRACE. Ten en cuenta que usar la funcin BPRW har mas
lento tu sistema en forma considerable (por ejemplo, intntalo con el
mdulo kernel).
SHOW inicio [l longitud] : El comando SHOW muestra los contenidos
del buffer de trace a partir del nmero de ndice especificado en
inicio para el nmero de instrucciones dado en longitud. Ten en
cuenta que index 1 muestra la instruccin mas reciente en el
buffer. Las instrucciones son mostradas en la ventana de
comandos, y pueden desplazarse usando las flechas hacia arriba y abajo.
ESC sale del modo SHOW.
TRACE off | index : El comando TRACE es usado para tracear pasos a
travs del
buffer de Back Trace comenzando en la instruccin
especificada en index. Ten en cuenta que un valor de index de 1 indica
la instruccin ms reciente en el buffer, mientras que un valor de
index de B (no 0X0B) indica el valor mas viejo en el buffer de
trace. El buffer puede ser traceado usando XT, XP y XG en lugar de los
comandos T (F8), P (F10) y G (Nota: Si usas Back Trace
frecuentemente, sera bueno que configuraras las siguientes teclas:
AF8="^XT;", AF10="^XP;", and AF12="^XP ret;"). El comando
TRACE OFF es usado para salir del modo Back Trace.
Ver y Editar la Memoria

A medida que traceas por el cdigo, a menudo vas a necesitar ver los
contenidos de posiciones de memoria para mantener el control de
variables, punteros e interrupciones. Adems, puedes necesitar buscar un
dato especfico en el rango de memoria direccionable completo (por ejemplo,
digamos, un nombre de usuario) para ajustar un Breakpoint en acceso a
ese dato. Los contenidos de cualquiera de las ventanas en la pantalla de SoftIce pueden ser editados accediendo a la ventana con una combinacin de
teclas ALT (ALT-R para registros, ALT-D para datos, ALT-C para cdigo,
etc) y modificando directamente los datos mostrados.
D : Muestra los contenidos de memoria. Sintaxis: D tamao direccin L
longitud, donde longitud puede ser B (byte), W (word - palabra), D
(double word - palabra doble), S (short real - entero corto), L (long
real - entero largo) o T (entero de 10 bytes), y direccin es la
direccin de memoria a ser mostrada (una direccin apuntada por los
contenidos de un registro -como EAX- o un desplazamiento u offset como [EPB-04] puede ser mostrada escribiendo el nombre del registro y
83
el desplazamiento en lugar de la direccin). La l muestra los datos en la

ventana de comandos (el rea de muestra por defecto es la ventana de
datos) y longitud determina cuantas filas (a cuatro bytes cada una, como en
la ventana de datos) de memoria mostrar. Ten en cuenta que hay cuatro
ventanas de datos, que pueden ser alternadas escribiendo DATA en
la lnea de comandos.
DEX : Asigna una expresin a una ventana de datos. Sintaxis: DEX
nmero-de-ventana [expresin], con nmero-de-ventana siendo un
nmero de 0 a 4 y expresin siendo una expresin que resulte en una
direccin de memoria. Ejemplo: DEX 1 ss:esp ajusta DEX0 para
mostrar la parte superior de la pila, DEX 1 @nombre-de-variable ajusta
DEX1 para mostrar las direcciones de memoria apuntadas por
nombre-de-variable (tales como [ebp+10]), DEX 1 @eax ajusta DEX1
para mostrar el rango de memoria apuntado por eax. Una ventana de
datos puede ser seleccionada con el comando DATA nmero-deventana (Ej: DATA 0, DATA 1, DATA 2 y DATA 3) o se puede
alternar entre las ventanas usando el comando DATA.
S : Busca en la RAM una cadena. Sintaxis: s direccin L longitud lista-dedatos, siendo direccin la direccin de memoria donde comenzar a
buscar, longitud la longitud en bytes del rea de bsqueda (FFFFFFFF
es el mximo) y data-list el dato que estas buscando (las cadenas
deben estar entre comillas simples o dobles. Los bytes son
simplemente los bytecodes hexadecimales). Modificadores: -c hace que
la bsqueda ignore si es maysculas o minsculas (case-insensitive), -u
busca una cadena Unicode. S 30:0 L ffffffff 'username' busca la
cadena "username" en los 4 GB completos de espacio de direcciones.
S es:di 10 L ecx 'Hello',12,34 busca la cadena "Hello" seguida
de 12h y 34h en el espacio de direcciones que comienza en es:di,
por el nmero de bytes especificado en bytes (en hexa) en el registro
ECX.viii
Vistas
Las vistas te permiten mantener la pista de una variable mientras estas
depurando un programa. No es necesario decir que es una funcin importante
en el crackeo y la ingeniera inversa. Para abrir una ventana de vistas, escribe
ww en la lnea de comandos de Soft-Ice. Si escribes watch seguido de un
nombre de variable (Ej: watch user_id) agregas esa variable (y su valor) a la
ventana de vistas. Los registros y desplazamientos de pila (para no
mencionar sus valores de memoria) pueden ser vistos usndolos en lugar del
nombre de variable, por ejemplo watch es:di y watch [ebp 18]. Para
agregar, dado que muchos registros y desplazamientos de pila
simplemente apuntan a una direccin donde se almacenan las variables
reales, puedes ver los valores referenciados por ellos escribiendo un asterisco
antes del nombre del registro o desplazamiento (Ej: watch *es:di). Unas
buenas variables para ver son es:di, *es:di, eax y cualquier [esp ?] o [ebp ?] que
referencia entrada por un usuario.
84
Usando Breakpoints
Es imposible depurar en forma efectiva sin el conocimiento del trabajo de
breakpoints (o puntos de quiebre). Un breakpoint es simplemente una
instruccin a la CPU de detener la ejecucin en el momento de acceder a cierta
rea de memoria o en un evento del programa o del sistema (tales como
mensajes de Windows o instrucciones del programa) y luego entregarle la
ejecucin al depurador. Cuando ajustas un breakpoint en Soft-Ice y corres el
programa en cuestin, Soft-Ice aparecer cuando se encuentre la
condicin para el breakpoint, con su pantalla usual de cdigo, registro y
datos, detenido en la instruccin que caus que se active el breakpoint.
Bc # : Clear Breakpoint--elimina un breakpoint ajustado. Debes
conocer el nmero de breakpoint.
Bd # : Disable Breakpoint--deshabilita pero no elimina un breakpoint
ajustado en Soft-Ice. Debes conocer el nmero de breakpoint.
Be # : Enable Breakpoint-Habilita un breakpoint que ha sido
deshabilitado. Debes conocer el nmero de breakpoint.
Bl : List Breakpoints-Muestra una lista de todos los breakpoints
ajustados actualmente en Soft-Ice, su estado y su nmero de
breakpoint.
Bmsg : Quiebre en mensaje de Windows.
Sintaxis: BMSG window handle L begin-message end-message
Bpint : Quiebre en Interrupcin. Solo funciona con interrupciones
manejadas por el IDT (95/NT).
Sintaxis: BPINT numero-int
Bpio: Quiebre en lectura y/o escritura de un puerto de
Entrada/Salida.
Sintaxis: BPIO puerto [R|W|RW] [EQ|NE|GT|LT|M valor]
[c=cuenta]
Bpm: Quiebre en lectura, escritura o ejecucin de memoria.
Sintaxis: BPM[B|W|DW] direccin [R|W|RW|X]
Bpx : Quiebre en ejecucin.
Sintaxis: BPX direccin/smbolo [c=cuenta] [EQ|NE|GT|LT|M
valor] [c=cuenta]
Bpr : Quiebre en Rango de Memoria.
Sintaxis: BPR direccin-inicio direccin- fin [R|W|RW|T|TW]
[expresin]
Bprw : Quiebre en segmento de programa/cdigo.
Sintaxis: BPRW nombre- mdulo|selector [R|W|RW|T|TW]
[expresin]
CSIP : Calificar breakpoints. Sintaxis: CSIP [off |[not] direccininicio
direccin-fin | nombre-mdulo] Usar not hace que el
breakpoint ocurra solo si el CSIP no es igual a las direcciones de
inicio o mdulos de windows listados. De otra forma, la ejecucin se
detiene solo si los breakpoints especificados por el usuario se
encuentran dentro de la direccin o mdulos especificados. "Off"
deshabilita el control de CSIP.
85
Usando Smbolos y NMSYM

De un archivo .EXE: Crea un archivo .MAP con IDA, o un
archivo .SYM con BUILDSYM.EXE (BUILDSYM nombre del
archivo exe)
De un archivo .DBG: Lo convierte a archivo .MAP
.SYM usando DBG2MAP.EXE (DBG2MAP /m archivo debg)
De un archivo .MAP: Convierte el archivo .MAP a archivo

.SYM
con
MAPSYM.EXE (MAPSYM -mn
archivo map),
MSYM.EXE (MSYM archivo map) o TMAPSYM.EXE (TMAPSYM
archivo map)
De un archivo .SYM: Convierte el archivo .SYM a archivo
.NMS con NMSYM.EXE (NMSYM /TRANS:SYMBOLS archivo
sym /OUT: archivo.nms) NMSYM.EXE tiene las siguientes opciones de
lneas de comando:
/TRANSLATE o /TRANS (Traduce Smbolos [PUBLIC,
TYPEINFO, SYMBOLS, SOURCE], ej. "/TRANS:SYMBOLS
target.exe")
/LOAD (Carga/ejecuta un modulo, ej. "/LOAD:NOBREAK
target.exe", "/LOAD:Execute target.exe")
/SOURCE (Nombre del archivo de origen, ej.
"/TRANS:PACKAGE /SOURCE:target.exe")
/ARGS (Especifica los argumentos del mdulo cargado, ej.
"/LOAD:Execute /ARGS:test.txt notepad.exe")
/OUTPUT o /OUT (Nombre del archivo de salida, ej.
"/TRANS:PUBLIC /OUT:target.nms")
/PROMPT (Solicita los archivos fuente faltantes)
/SYMLOAD o /SYM (Carga Smbolos, ej.
"/SYM:kernel32.nms;user32.nms;target.exe")
/EXPORTS o /EXP (Carga exports, ej.
"/EXP:user.exe;kernel32.dll;msvcrt42.dll")
/UNLOAD (descarga smbolos o exports, ej.
"/UNLOAD:user.exe;kernel32.dll;msvcrt42.dll")
/LOGFILE o /LOG (Graba el historial de comandos, ej.
"/LOG:sice.txt", "/LOG:sice.txt,APPEND")
/VERSION o /VER (Versin del Producto)
/HELP o /H (Ayuda)
La Utilidad Map2Map: Gij escribi una utilidad para convertir los archivos
IDA .MAP a un formato adecuado para NMSYM.EXE; se llama Map2Map
y es necesario Perl.
86
El Historial de Comandos del Soft-Ice: El historial de la ventana de

comandos del Soft
Ice puede ser guardada en cualquier momento
usando el Symbol Loader o NMSYM.EXE. Los contenidos enteros
del
buffer
del
historial
(de
un
tamao determinado en
WINICE.DAT) son guardados al archivo especificado. Ten en cuenta que
slo el texto que aparezca en la ventana de comandos ser guardado.
Los datos pueden ser volcados desde la ventana de comandos usando
la orden "D" (Dump - Volcar) y especificando una longitud ("l") para
volcar y el cdigo puede ser volcado a la ventana de comandos usando
la orden "U" (unassemble - desensamblar) y especificando,
igualmente, su longitud ("L"). Ten en cuenta que si vas a grabar el
historial de la ventana de comandos, sera aconsejable poner en
WINICE.DAT lo siguiente: VERBOSE=OFF .
Opciones de la Lnea de Comandos

Cortesa de THE OWL
/? (muestra la pantalla de ayuda)

/tra size (Cantidad de historial de Back Trace en K decimales) /x
/m
/nmi on|off (Capturar NMI - Non-Maskeable Interrupt)
/nol on|off (Sin programacin de Caps-Lock/Num-Lock)
/vdd
/kbd on|off (Parchar controlador del teclado [Caps/Num-Lock])
/pen on|off (Habilitar soporte Pentium)
/com[123] (Usar puerto COM 1-3 para depuracin serial)
/hst size (Cantidad de memoria adicional del historial de pantalla en
K decimal)
/exp nombre de archivo (Carga exports de nombre de archivo)
/l nombre de archivo (Carga la informacin de smbolos de nombre
de archivo)
/l% nombre de archivo (Carga la informacin del smbolo de nombre
de archivo)
/load nombre de archivo (Carga la informacin de smbolos de
nombre de archivo)
/load% nombre archivo (Carga la informacin de smbolos de
nombre archivo)
/loadx nombre de archivo (Carga la informacin de smbolos de
nombre de archivo)
/loadx% nombre archivo (Carga la informacin de smbolos de
nombre archivo)
/load32 nombre archivo (Carga la informacin de smbolos de
nombre archivo)
/load32% nombre archivo (Carga la informacin del smbolo de
nombre archivo)
/sym size (Cantidad de memoria de tabla de smbolos en K decimal)
87
Obteniendo Informacin de Sistema
Addr : Muestra o Cambia a un Contexto de Direccin

Class : Muestra informacin de Clases de Windows (Windows Classes).
CPU : Muestra los registros de la CPU.
Exp : Muestra o carga los exports de archivos DLL.
GDT : Muestra la tabla de descriptores global.
Heap : Muestra el acumulador global de Windows.
Heap32 : Muestra/avanza el acumulador global de Windows.
HWND : Muestra informacin sobre Windows Handles.
IDT : Muestra la tabla de descriptor de interrupciones.
LDT : Muestra la tabla de descripcin local.
LHeap : Muestra la Pila Local de Windows.
Map32 : Muestra un mapa de memoria de todos los mdulos de 32-bits
cargados en memoria.
MapV86 : Muestra el mapa de memoria de DOS de la Mquina Virtual
actual.
Mod : Muestra la lista de mdulos de Windows.
Page : Muestra informacin de la tabla de pgina.
Proc : Muestra informacin sobre un proceso.
Stack : Muestra una pila de llamada.
Sym : Establece o Muestra un smbolo.
Task : Muestra lista de tareas de Windows.
Thread : Muestra informacin sobre un thread.
TSS : Muestra el Segmento de Estado de Tarea y conexiones de los
puertos de Entrada/Salida.
VCall : Muestra los nombres y direcciones de memoria de las rutinas
llamables en VxD
VM : Muestra informacin de mquinas virtuales.
VXD : Muestra mapa VxD de Windows.
VMM : Llama al Men de Servicios de Informacin del Depurador
VMM.
VPICD : Llama a Men de Informacin del Depurador VPICD.
VXDLDR : Muestra informacin de VxD.
WMSG : Muestra los nombres y nmero de mensaje de los mensajes de
Windows.
Capturando Fallas de Proteccin General (FPG)

Esta seccin est todava en fase de "experimentacin". Soft-Ice captura
todas las FGPs por defecto, pero es poco consuelo, ya que no hay
mucho que podamos hacer al respecto. He advertido dos patrones de
FGPs detectadas por Soft Ice: uno en el cual est atrapado en un loop
Wait_Semaphore, y el otro en el cual todos los opcodes en la ventana
de cdigo son "FFFFFFFF INVALID". En el primer caso, puedes regresar
con F12 hasta el cdigo principal del Kernel y tratar de "sentir el cdigo"
(esto en "lenguaje cracker" significa ir hasta el final una y otra vez hasta que
88
veas algn patrn) y ver cual es el Jcc (salto condicional, por ejemplo JNZ)
que causa el problema, entonces editar las banderas (R FL Z en Soft-Ice
para cambiar de estado a ON o a OFF la bandera Zero) antes de ese JNZ
particular (Esto me ha funcionado solo una vez, y aun as todo lo que hizo
fue que mi computadora no se quedara colgada; la aplicacin se colg
igual). En el otro caso, puedes (Rezar!, es broma) poner la sentencia
RET usando el comando A del Soft Ice (A direccin, donde direccin
es la lnea con el cdigo FFFFFFFF INVALID) y esperar que se haya
llegado a esta rea de cdigo mediante una llamada (CALL) y no un salto
(esto no me ha funcionado de ninguna forma, pero la teora es ms o menos
correcta; ). A menos que hayas escrito y/o memorizado el cdigo fuente del
Kernel de Windows, vas a tener que vivir con las FGPs (pero debes
caer luchando!).
Ejercicios
Soft-Ice es un programa sumamente poderoso con una interfaz complicada,
en el que lo mejor es aprender por medio de la experiencia. Los siguientes
ejercicios estn hechos para familiarizarse con el Soft Ice.
Ejercicio 1: Depurando una aplicacin existente.
A menudo nos frustraremos cundo usemos un programa escrito por una
tercera persona (tercera persona en este caso significando no tu
mismo, mas que no Microsoft); Soft-Ice es una herramienta excelente
para resolver tales situaciones. Inso Corporation's Quick View Plus, por
ejemplo, tiene un bug o error en la ventana "Register": cuando introducimos
un nmero de serie y pulsamos "Register", el programa nos muestra un
mensaje diciendo que el nmero que hemos introducido es invlido. Por
supuesto, Inso Corp ha calificado este bug como una "medida de
seguridad", pero nosotros estamos aqu para arreglarlo.
Comenzaremos instalando el Quick View Plus Trial edition; El Install
Wizard nos guiar a travs de sus deprimentes pantallas azules y sus
ventanas de dilogo grises. Cuando termina, Quick View Plus se
ejecutar y una pequea ventana gris con tres botones ("Purchase",
"Uninstall", "Continue") aparecer; es aqu cuando el ejercicio
comienza en serio.
1) Haz click en "Purchase", luego en "$49", despus en "Accept", y
finalmente en "Unlock by Phone".
2) Pulsa Ctrl-D para ir al Soft Ice. Vamos a intentar localizar los mensajes
de la ventana de registro ("Register"), y para lograr esto necesitamos
tantear un poco el terreno: BMSG requiere un parmetro hwnd, y la
orden HWND requiere un nombre de proceso. Por tanto primero
escribiremos TASK en la lnea de comando del Soft Ice, el cual nos muestra
lo siguiente:
89
Taskname
Order32
SS:SP
0000:0000
StackTop
005ED000
StackBot StackLow TaskDB hQueue Events

005F0000
11DE 2EEF
0000
...
Aqu est, arriba a nuestra izquierda: Order32. La sintaxis para
HWND es HWND tarea, entonces ahora pondremos HWND ORDER32,
que dar la siguiente salida:
Window-Handle
07A8(1)
07AC(2)
.......
07DC
hQueue
2EEF
2EEF
SZ QOwner Class_Name
32 ORDER32 #32770 (Dialog)
32 ORDER32
Static
2EEF
32
ORDER32
Edit
Window Procedure
173F:00004757
173F:000052FA
173F:00000BF4
Nos lista demasiadas ventanas, siendo 07A8 la ventana de dilogo

principal, pero la nica que nos interesa est en el control de edicin:
07DC.
3) Lo que vamos a hacer ahora es colocar un breakpoint en la ventana 07DC
(el control de edicin (Edit)) para el mensaje de Windows WM_GETTEXT;
localizando solo este mensaje (el cual recibe el texto de un control de
edicin), evitamos tener que andar a travs de las distintas rutinas de dibujo
de pantalla y de manejo del mouse que Windows procesa cada
millonsima parte de segundo. Ten en cuenta que en lugar de eso
podramos poner un breakpoint en GetDlgItemText, GedDlgItemTextA,
GetWindowText, y GetWindowTextA para lograr el mismo efecto,
pero es mucho mejor colocar un slo breakpoint en lugar de 4 (adems el
programador podra haber escrito su propia ruina "Get Text", en cuyo
caso estos breakpoints nos fallaran). El comando que escribiremos en el
Soft Ice es BMSG 07DC WM_GETTEXT.
4) Ahora estamos listos para la accin. Introduce el Cdigo de Desbloqueo
que mas te guste (Mi preferido es 666111666) y pulsa "OK". El Soft Ice
saltar inmediatamente, en USER!BOZOSLIVEHERE -- esta es la idea que
Microsoft tiene de los chistes, me imagino; pulsa F12 para salir (RET) de
esa funcin y llegaremos a USER!BEAR498, F12 otra vez hasta
USER!GLOBALGETATOMNAME, F12 otra vez hasta llegar al cdigo
PROT16, otro F12 nos lleva a SER!DIALOGBOXINDIRECTPARAM,
y finalmente un F12 mas y llegaremos a KERNEL.Alloc. Esto es muy
importante para tener en cuenta, en la mayora de los casos donde el
breakpoint nos lleva al cdigo de Windows (y F11 te sacar solo de una
sola capa o layer), nos encontraremos en KERNEL.Alloc justo antes
de regresar al cdigo de la aplicacin. Una buena regla general es por
tanto pulsar F12 como locos hasta llegar a KERNEL.Alloc, luego
presionar F12 una vez ms para volver a la aplicacin.
5) Pulsamos F12 otra vez, y nos encontraremos en ORDER32!.text
39B9, con el siguiente cdigo:
90
0137:004049B9 Call [User32!GetDlgItemTextA]

0137:004049BF LEA ECX,[EBP-68]
0137:004049C2 PUSH ECX
0137:004049C3 CALL 004047E2
0137:004049C8 ADD ESP,04
0137:004049CB TEST EAX,EAX
0137:004049CD JNZ 004047E2
004049BF LEA ECX,[EBP-68] es la lnea de cdigo en la que

estamos; Call User32!GetDlgItemTxtA recin fue ejecutado. Mirando
las lneas de cdigo que hay despus, te dars cuenta de que esto es
todo lo que necesitamos: ste es un esquema tpico TEST/JNZ. El Unlock
Code ha sido guardado en EBP-68 por GetDlgItemTextA; es luego movido
a ECX y empujado a la pila como nico parmetro de la funcin en
004047E2. Cuando el programa regresa de la llamada, la pila es
corregida (ADD ESP,04) y un valor booleano (1 o 0, correspondiendo a
TRUE o FALSE) es almacenado en EAX por la funcin. El valor en EAX
est siendo comprobado para averiguar si es verdadero o TRUE (1) y si es
as, el programa sigue adelante hacia el cdigo "unlockcode-correctoahora-registra-a-este-pobre". En cdigo-pseudo-C, esto sera as:
CHAR UnlockCode;
BOOLEAN IsGood;
...
GetDlgItemText(hwnd 07DC, int UnlockCodeField, charbuf [EBP-68], int 8);
UnlockCode=[EBP-68]; IsGood=ValidateUnlockCode(UnlockCode); if (IsGood)
UnlockProgram();
else MessageBeep();
...
Ahora debemos asegurarnos que estamos en lo correcto acerca de este

cdigo. F8 para pasar la instruccin LEA, luego escribimos D ECX: En la
lnea de comandos del Soft Ice, en la ventana de datos veremos:
013F:005EF604 36 36 36 31 31 31 36 36-00 05 00 00 7F 16 85 63 66611166....^..c
OK, esto es que nuestro serial est a punto de ser manipulado. Miramos
detenidamente, qu vemos? Nuestro querido 666111666 (o sus
primeros ocho dgitos, en realidad), siendo cargado en ECX como
parmetro de 004047e2. ValidateUnLockCode(UnlockCode). F10 hasta
llegar al JNZ, paramos ah. Vemos lo que pone en JNZ 00404A29 (NO
JUMP) Ahora cambiaremos el estado del flag Zero, para ponerlo en
estado no-cero, esto lo haremos escribiendo R FL Z. Vemos que el
cdigo ha cambiado a lo siguiente: JNZ 00404A29 (JUMP). En este
momento pulsaremos Ctrl-D para volver al programa y veremos si hemos
acertado... aparece una ventana nueva: Quick View PLus Unlocked Thank
you for purchasing, la-la-li-la-la.... Pulsa "OK", esta leccin ha
terminado!, Para finalizar, presionamos Ctrl-D y escribimos BC *
para quitar todos los breakpoints.
91
Ejercicio 2: Recuperando el Acceso Perdido.

Cundo tienes el sistema configurado con seguridad mxima, es
siempre un peligro olvidar la contrasea y por tanto perder el acceso a
nuestros datos. La mayora de las veces simplemente puedes realizar un
ataque "de fuerza bruta" a los archivos encriptados (o a cualquier objetivo
que te d problemas), pero cuando no tocas la PC durante un rato y se
activa el salvapantallas que olvidaste que habas instalado, protegido
con una contrasea que hace mucho tiempo que no recuerdas, tendrs
que reiniciar -y perder datos- para volver a tener acceso a tu mquina. SoftIce, sin embargo, es lo suficientemente poderoso para solventar estas
situaciones difciles.
Para comenzar, instala un salvapantallas con proteccin de contrasea (si no
lo tienes ya) a travs del Panel de Control en Windows 95. Espera a que se
active, luego mueve el mouse para activar la ventana de dilogo donde pide
la contrasea. Vamos a ver:
1) Introduce una contrasea cualquiera, luego Ctrl-D y pon un breakpoint
en hmemcpy (bpx hmemcpy) -hmemcpy es la funcin del kernel usada por
Windows para manejar cadenas en la memoria, por ejemplo cuando son
metidas en una ventana de dilogo siendo comprobadas para
verificarlas. Presiona Ctrl-D otra vez para regresar al protector de
pantalla, pulsa sobre el botn OK. Soft-Ice saltar y aparecemos en
KERNEL!LOGERROR 0123
2) F12 hasta que lleguemos a Kernel.Alloc (10 veces), luego otra vez para
entrar en el cdigo de nuestra vctima, en este caso llamado
(asombrosamente) PASSWORD!.text
Ten en cuenta que apunta inmediatamente a nuestro ejecutable vctima,
password.cpl en el directorio windows\system. Password.cpl es una
extensin de 37,376 bytes del Panel de Control - inmediatamente sabemos
que los archivos .scr usan el applet (o el subapplet) de contraseas del Panel
de Control para
proteger tu mquina. Password.cpl exporta las
siguientes funciones:
0000
0001
0002
0003
00001151 CPlApplet
00003f3b PPChangePassword
00003eb9 PPGetPasswordStatus
00004006 VerifyScreenSavePwd
Y (como en cualquier programa de Windows) importa unas cuantas

adicionales, incluyendo estas:
MPR.dll
004e PwdSetPasswordStatusA
0011 PwdChangePasswordA
0013 PwdGetPasswordStatusA
003f WNetGetUserA
92
Esta vctima esta ponindose cada vez ms interesante puede ser necesario
catalogarlo con dificultad Difcil
3) Mira detenidamente el cdigo:
0137:7C45428F
0137:7C454295
0137:7C454297
0137:7C454299
0137:7C45429C
0137:7C45429F
0137:7C4542A0
0137:7C4542A1
0137:7C4542A6
0137:7C4542A8
0137:7C4542AA
0137:7C4542AF
CALL [7C4582BC]
TEST EDI, EDI
JNZ 7C4542B1
LEA EAX, [EBP-04]
LEA ECX, [EBP-14]
PUSH EAX
PUSH ECX
CALL 7C454536
TEST EAX, EAX
JZ 7C4542DE
MOV EAX, 00000001
JMP 7C454322
Los esquemas de proteccin de contrasea normalmente no

guardan una copia desencriptada de la contrasea en memoria. En
general, la entrada de datos del usuario se encripta usando el mismo
algoritmo que el encriptador de la contrasea, luego las dos cadenas
encriptadas son comparadas (s, puede hacerse mucho mas complicado
que esto, pero esa es la idea bsica). Lo que esto significa es que si
vas en busca de la contrasea, te esperan un montn de clculos
matemticos. Si tan solo quieres obtener acceso, entonces es algo tan
simple como una declaracin CMP -- el acercamiento a "los cambios
de estado de los flags ".
Si investigas un poco en el cdigo, veras que hay dos clases de saltos: uno
que te lleva
al rango 7C4542xx (el JNZ en 7C454295 y el JZ en
7C4542A8), y el que te lleva al rango 7C4543xx (el JMP en 7C454322).
Lo que parece -y sta es una intuicin que aparece despus de haber visto
toneladas de cdigo parecido a este- es que tienes dos comprobaciones (tal
vez una para el tamao de la contrasea y otra para el contenido de la
contrasea, sin embargo en este ejercicio el propsito de las
comprobaciones es algo sin importancia), luego un EAX = 00000001 (en
booleano, "VERDADERO") seguido por un salto a una posicin despus de
los "resultados" de las comprobaciones.
Te encuentras, por lo tanto, que quieres fallar en las dos
comprobaciones (P.ej.: no saltar) y al final que vaya a 7C454322. Cmo
sabes que hay que hacer? Por ahora, eso es una incgnita. Pero si sigues
traceando, te encontrars con que con la contrasea errnea tomars
esos dos saltos (P.ej.: Si pasas por el primero, el segundo te atrapar) y al
final te llevar al mensaje de "contrasea invlida".
(4) Le das a F10 hasta llegar a JNZ 7C4542B1. Aqu cambias el
flag Zero (r fl z), luego F10 hasta: JZ 7C4542DE. Otra vez, cambias el
flag Zero, y pulsa CTRL-D para regresar al salvapantallas... el cual
inmediatamente desaparecer y tendrs acceso al escritorio. Asegrate
93
de quitar el breakpoint hmemcpy (BC *) antes de salir...

La Parte Buena? Ahora sabes como romper un insignificante esquema de
proteccin de contrasea del salvapantallas usando Soft Ice (y muchos
mas esquemas similares usando tu imaginacin). La Parte Mala?
Nadie en cuya mquina quieras entrar va a tener instalado el Soft Ice.
Por supuesto, despus de una ingeniera inversa completa, puedes escribir
una utilidad para acabar con la proteccin del .scr o engaar al archivo .cpl,
luego insrtalo en el autorun.inf de un CD-ROM y espero que la
computadora "vctima" tenga habilitado el "Autoplay"....
94
Durante todo este tutorial se har referencia a la versin 4.05 de Numega SoftIce para
DOS/Win95/Win98.
ii
Desde luego es una recomendacin que suscribimos. Tener una copia de estos manuales, en especial
del Command Reference, nos permitir conocer que hace exactamente una orden que no
empleamos a menudo o como es su sintaxis.
iii
Hasta la fecha los autores solo han encontrado dicha informacin en un programa.
iv
Hace referencia al crackeo de un programa mediante la localizacin de una cadena conocida (ver pag
10).
Como ya se ha mencionado mas arriba en este tutorial, el winice.dat que acompaa el paquete de Sice
ya incluye todas esta lneas EXP precedidas de un ; basta quitar el ; y listo.
vi
Se trata de una de las funciones avanzadas del SoftIce. Cuando identificamos en Wdasm una parte del
cdigo que nos interesa tracear hacia atrs, pero no sabemos de donde viene (no hay cartel
Referenced by ...), ponemos un BPR rango (zona de la que pensamos puede provenir o todo el
programa si no tenemos ni idea) y un bpx en la parte que hemos visto en el Wdasm. Al romper el Bpx
podremos hacer un show identificando de donde parte la llamada (generalmente un jmp [eax+48] o
cosa similar, ya que si no Wdasm dara la referencia)
vii
Similar a anterior salvo que en vez de indicar un rango de direcciones de memoria el SoftIce dispone
automticamente el rango que ocupa el mdulo o programa en ejecucin que le indicamos.
viii
Instruccin muy til para el desempacado manual de ejecutable comprimidos, pero que cuelga el
sistema con frecuencia.
95
Captulo
Editores Hexadecimales: WinHex

por Imanol
WinHex fue el primer editor hexadecimal que utilic, y es por ello

por lo que suelo usarlo. No es tan potente como otros, pero su
interfaz sencilla lo hacen idneo para aprendices.
Instalacin y descarga
El sitio oficial de WinHex se encuentra en http://www.winhex.com aunque
tambin puede ser descargado desde otras pginas como tucows, softonic,
cnet. En esa misma pgina se encuentra otro de los productos
hermanos de winhex, el RAMCheat, supongo que ahora entenderis por
qu empec utilizando el WinHex. Este editor es Shareware, y su
nica limitacin es no poder guardar archivos mayores de 200kb, por
ello es aconsejable o bien comprarlo, o bien buscar por la red alguna
versin sin dicha limitacin.
Una vez descargado tendremos un zip que
al descomprimirlo nos
mostrar una serie de archivos, entre ellos uno llamado winhex.exe. Este es
el archivo que tenemos que ejecutar. Tambin hay un archivo de instalacin
llamado setup.exe, pero su ejecucin no aade ninguna funcin que nos interese,
ya que nosotros slo lo utilizaremos como editor hexadecimal, y no
para otras utilidades que se anuncian en la pgina web, como clonado de
datos o borrado irreversible de datos.. Entonces hagamos doble clic sobre el
archivo WinHex.exe y veamos que
es capaz de hacer.
Primeros pasos
Una vez arrancado el programa aparece una ventana en la que se puede elegir
entre acceder a uno de los proyectos recientes, continuar con la ultima sesin,
abrir un script personalizado o preinstalado o bien elegir una de las cuatro
96
Editores Hexadecimales.
opciones de arriba que consisten en abrir un archivo, abrir una unidad de disco,
abrir Ram y abrir el contenido de una carpeta. Lo normal es que
queramos abrir un archivo, para ver el contenido de ste y modificar lo que
hayamos hecho con el debugger. Tambin puede ser interesante abrir la ram para
modificar parmetros en aplicaciones como juegos, etc. Si pulsamos sobre esta
opcin sale una lista con las tareas que estamos realizando y pulsando sobre la
que queramos se puede analizar su contenido.
Checksums
Un checksum es un nmero caracterstico obtenido para verificar la autenticidad
de los datos. Al realizar cambios sobre los archivos, es posible que si los cambios
no se contrarrestan entre si, el checksum cambie, produciendo un error en la
ejecucin del archivo. Para evitar esto el checksum se puede recalcular pulsando
ALT+F2.
Explicacin de las opciones

Modos de edicin
Existen tres modos fundamentales de abrir un archivo en winhex: Por defecto,
slo lectura y edicin directa. En el primer modo se crea un archivo virtual
cuando abrimos el archivo y al guardar los cambios se guardan
permanentemente sobre el original. En el segundo modo no se realizan cambios
sobre los archivos, permanecen protegidos, mientras que el modo de edicin
directa es ideal para archivos de gran tamao, pero hay que tener en cuenta que
los cambios se van realizando directamente sobre el original, aunque no
pulsemos el botn de guardar.
Barra de estado
Una vez abierto un archivo, a lo largo de toda la parte inferior de la ventana se
extiende la barra de estado que muestra el nmero de pgina actual
(pulsando sobre l se puede avanzar a las siguientes), la posicin actual
(offset), la conversin decimal de los valores actuales en hexadecimal, el
principio y final del bloque actual y el tamao actual del bloque en bytes.
Como ya se ha indicado, pulsando sobre ellos se puede actuar sobre
dichas opciones. Adems pulsando con el botn derecho del ratn sobre la
barra de estado permite copiar la informacin desde ah al portapapeles, si
pulsamos con el botn derecho sobre el offset se puede cambiar entre
representacin absoluta o relativa, ideal para actuar sobre registros de
longitud prefijada. Si pulsamos en la tercera opcin de esta barra con el botn
derecho podemos copiar al portapapeles los cuatro valores hexadecimales en
orden inverso cosa que puede ser til para examinar punteros.
97
Editores varios
Winhex es capaz tambin de editar discos y ram. La funcin de editar discos
tiene ciertas aplicaciones como la de editar el espacio en blanco de un
disco para poderlo copiar y abrirlo para buscar datos perdidos que no
hayan sido machacados y tambin se pueden copiar sectores. Por su parte el
editor de ram permite ver el contenido en ram de diferentes aplicaciones y
modificarlo, con el inconveniente de que los modulos de 16 bits slo pueden
ser editados desde mquinas con win95/98 y que los mdulos de sistema de
windows no pueden ser alterados.
Algunas teclas rpidas
Hay ciertas teclas o combinaciones de teclas que pueden resultar de inters. La
seleccin se realiza con el ratn, con el botn izquierdo, sobre una seleccin de
ratn se puede deshacer pulsando dos veces con el botn derecho.
La tecla TAB sirve para cambiar de modo hexadecimal a Texto y viceversa.
La tecla INS sirve para cambiar del modo de sobreescritura al de insertar.
El men
El men principal contiene muchas opciones que son evidentes. Explicar las ms
interesantes
Men bsqueda
Esta es una de las funciones que ms utilizaremos, que ser buscar cadenas
hexadecimales o de texto. El men bsqueda presenta las siguientes opciones:
Encontrar texto: Busca cadenas de hasta 50 caracteres.
Encontrar valores Hexadecimales: Busca una cadena de hasta 50 valores
hexadecimales de dos caracteres.
Reemplazar texto: Reemplaza un texto dado por otro seleccionado.
Reemplazar valores Hexadecimales: Funciona igual que el comando
anterior, pero con valores hexadecimales en vez de texto.
Bsqueda combinada: Es una bsqueda en dos archivos diferentes de dos
valores pero en
un mismo offset. Como ejemplo esto se puede utilizar para examinar partidas
guardadas. Por ejemplo sabemos que tenemos 5 vidas en una partida guardada,
guardamos otra con 1 vida y aqu realizamos la bsqueda y veremos cual es
el valor que cambia, luego lo podemos modificar y poner 10 vidas o las que
queramos.
Creo que con esto es suficiente para saber manejar el programa para nuestros
intereses. Si hay dudas acerca de otras funciones conviene utilizar la ayuda del
mismo programa.
98
Utilizacin del Ultra Edit

por Ricardo Narvaja
En esta leccin trataremos de explicar el funcionamiento bsico de ULTRA EDIT
para ayudarnos en nuestra tarea de cracking ya que la cantidad de
posibilidades que posee este programa son muchsimas y se puede consultar la
ayuda que en las ltimas versiones ya viene traducida al espaol, por si alguien
quiere profundizar algn tema.
Primero que nada hagamos una copia del archivo que vamos a trabajar, esto es
muy importante ya que una mala operacin de este programa puede inutilizar
un archivo por lo que SIEMPRE debemos trabajar sobre una copia y tener
bien resguardado el original para poder restaurar.
Vamos a INICIO-BUSCAR y hacemos que busque calc.exe, una vez encontrado
lo copiamos y pegamos en el escritorio para trabajar sobre esta copia dejando el
original en su lugar sin tocar.
Abrimos el programa ULTRA EDIT (yo estoy trabajando con la versin 9 en
espaol que hasta hoy es la ultima) y vamos a ARCHIVO-ABRIR y
buscamos en el escritorio el calc.exe y se abre perfectamente,
99
Esta es una vista cuando ya abrimos el archivo, por supuesto como este programa
es un editor hexadecimal veremos las posiciones de memoria en offset a la
izquierda y su contenido en Hexadecimal en el centro, en la columna de la
derecha vemos los caracteres ASCII correspondientes a cada posicin de
memoria si los hay, sino un puntito si no existe carcter para ese valor
hexadecimal.
Lo primero que debemos saber es como ubicarnos en un valor offset para
modificarlo.
Si nosotros utilizamos el Wdasm anteriormente y hallamos la posicin de
memoria que queremos modificar en la leccin de Wdasm, se vio que en el borde
inferior si estamos posicionados sobre la lnea a modificar se puede leer el
OFFSET de esa posicin de memoria.
Pero que es exactamente el OFFSET que diferencia tiene con la posicin de
memoria?
En el desensamblado del Wdasm encontramos la respuesta all en las primeras
lneas podemos leer esto.
Number of Objects = 0003 (dec), Imagebase = 01000000h

Ese valor IMAGEBASE para que se den una idea es el comienzo desde
donde se ubica el programa en la memoria, ojo no desde donde
comienza a ejecutarse ya que puede comenzar por el medio del listado
sino donde comienzan a encontrarse los primeros bytes en la memoria.
Fjense en el Wdasm si bajan que las posiciones de memoria son todas
superiores al valor de ImageBase.
Ahora si en el Wdasm estoy en esta posicin 01001035

:01001035 76F7
jbe 0100102E
:01001037 BFA86DF7BF
mov edi, BFF76DA8
:0100103C E748
out 48, ax
:0100103E F7BF0509FABF
idiv dword ptr [edi+BFFA0905]
y quisiera modificar estos bytes 76F7 en el Ultra EDIT como hago para
encontrarlos all?
Si en el Wdasm me posiciono encima de esta sentencia leo en el borde inferior
OFFSET que es 1035 por lo tanto nos damos cuenta en este caso
fcilmente que el OFFSET es la posicin de memoria menos la Image base o
sea:
Posicin de memoria
Image Base
resultado (offset)
1001035
1000000
1035
En este caso que la Image Base es 1000000 se calcula fcilmente pero en

otros casos deberemos hacer la cuenta con la calculadora.
Bueno debemos encontrar los valores 76 f7 para modificarlos que se
encuentran en el OFFSET 1035, vamos al ULTRA EDIT y all vamos a
100
BUSCAR-IR A LINEA-PAGINA.
y en la ventanita escribimos 0x1035 ya que nos exige el 0x para demostrar
que es un valor hexadecimal.
En la imagen podemos ver a la izquierda el valor 1030 del OFFSET y el valor 76

que buscbamos marcado en azul corresponde al offset 1035, los valores
subsiguientes corresponden a los posteriores valores que encontrbamos en
el WDASM, luego del 76 venia F7, y segua en la sentencia de abajo en el
Wdasm BF, A8 etctera.
Por lo tanto hemos utilizado la forma de encontrar los valores del Wdasm en el
Ultra EDIT por el mtodo del OFFSET.
Otra forma aunque mas imprecisa y que puede llevar a error aunque a veces es
mas rpida, es la de hallar la cadena, la menciono porque en muchos tutes se
utiliza.
El mtodo consiste en copiar del Wdasm a partir del valor 76 , una cadena de
valores de 10 cifras por lo menos, en este caso seria
76 F7 BF A8 6D F7 BF E7
Vamos al Ultra Edit subimos la barra de desplazamiento hacia el principio
del programa y all marcamos la primera lnea para buscar a partir de all hacia
abajo.
Vamos directamente a Buscar y all ponemos la cadena en forma corrida y le
damos a Buscar y all la encuentra, siempre que usemos este mtodo debemos
101
BUSCAR SIGUIENTE luego de hallar una coincidencia, para ver que no haya
otra cadena igual mas adelante.
Ese suele ser el problema de este mtodo que muchas veces se busca una cadena y
se confa uno y modifica algo y resulta que haba dos o tres cadenas iguales mas
adelante que uno no verifico al no usar BUSCAR SIGUIENTE y modifica
cualquier cosa y mal.
Siempre es aconsejable el mtodo del OFFSET si se puede usar.
Bueno una vez que por cualquiera de los mtodos encontramos los bytes a
cambiar escribimos encima de los mismos los valores nuevos y vamos a
ARCHIVOS-GUARDAR y listo ya estarn guardados los cambios y adems el
Ultra Edit generara un archivo de respaldo de extensin bak que en este caso se
llamara calc.bak y que ser original como era antes de realizar los cambios salvo
con la extensin bak en vez de exe.
Este programa tiene muchsimas funciones y posibilidades mas que se pueden ver
claramente en su manual, solo haremos mencin a dos que nos pueden servir en
el tema cracking.
La primera funcin nos da la posibilidad de elegir dos archivos para comparar y
ver las diferencias,
la misma se encuentra en el men ARCHIVOSCOMPARAR ARCHIVOS, podemos poner la tilde en la opcin SOLO
MOSTRAR LINEAS QUE DIFIERAN y saldrn solo las lneas que hay
diferentes entre los dos. Esto es til para ver los cambios que uno realizo o
cuando uno analiza un crack hecho por otra persona para ver que modifico el
mismo al ejecutarlo (habiendo guardado una copia del original en otro lugar antes
de aplicar el crack)
Otra funcin interesante es la de COPIAR Y AGREGAR que se encuentra en el
men EDITAR, y sirve para marcar una zona de valores hexadecimales, copiarla o
cortarla y agregarla en otro lugar del mismo archivo a partir del lugar donde esta el
cursor o tambin para agregarle a partir del cursor los valores hexadecimales
copiados en otro archivo diferente
Con eso completamos esta visin bsica del Ultra Edit en lo referido al tema
cracking
102
TRABAJANDO CON HIEW

por Frantic
HIEW es un editor hexadecimal (hex editor) para DOS con el que se
pueden abrir, observar y modificar archivos, generalmente, ejecutables (.exe) y
libreras (.dll)
Los apuntes que siguen son una referencia de las funciones ms tiles de este
clsico del oficio, y estn referidos a la versin 615.
Las ayudas que ofrece el propio programa (F1) se limitan a unos listados de teclas
con escuetas definiciones.
Se recomienda seguir estos apuntes abriendo un archivo para poner en prctica lo
que se va leyendo. Antes haz una copia del programa de prueba, por si resultara
alterado por equivocacin.
ABRIENDO UN PROGRAMA
Si se ejecuta HIEW desde su carpeta de Windows, se abre una ventana del DOS
en la que aparece un cuadro de dilogo para localizar el archivo que se quiere
abrir. Tambin se puede iniciar HIEW de ese modo desde la lnea de comandos,
pero lo ms prctico es enviar directamente a HIEW el archivo que se va a abrir.
Para ello se puede colocar un acceso directo a HIEW en la carpeta SEND TO de
WINDOWS, y enviar el archivo con la opcin correspondiente del men
contextual (botn secundario del mouse). Para los ms avezados en los
intrgulis de Windows queda una opcin parecida pero ms rpida an:
incorporar directamente HIEW al men contextual. Para ello hay que aadir la
entrada correspondiente en el registro de windows.
(HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\Hiew)
(HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\Hiew\command)
Otra manera rpida de abrir un archivo con HIEW es arrastrarlo y soltarlo encima
de un acceso directo a HIEW colocado en el escritorio.
SEARCH=BSQUEDA (F7)
Solo se pueden buscar cadenas de cdigo hexadecimal. No busca, por
tanto, su equivalente en ASCII. Por ejemplo, puede encontrar 85C0, pero no
encuentra test eax, eax, que es lo que aquello significa.
Tambin se pueden buscar cadenas de texto. Esto ltimo viene muy bien para
localizar pantallas por su texto.
Para ir a la siguiente coincidencia de una bsqueda tenemos tres
combinaciones: Ctrl+F7 , Ctrl+Enter o Maysc+F7.
GOTO = IR A (F5)
103
Teclea la direccin que te da el soft-ice pero con el punto delante (.0041192D).

As consigues ir a las direcciones locales (las que ves en Softice) en vez de las
globales (las que ves en cualquier editor hex). Para bascular entre las variables
globales-locales pulsar alt+F1
MODO (F4)
Ofrece tres modos. El ms adecuado para analizar el cdigo, como su nombre
indica el es Decode. En ese modo se pueden realizar los cambios de las
instrucciones (F3).
Para buscar cadenas de caracteres (texto) a simple vista (usando las teclas de
desplazamiento: flecha arriba, abajo, pg arriba y abajo, control+inicio,
control+fin), en cambio, es mejor pasar al modo Hex. Si, estando en modo Hex
quieres realizar algn cambio (pulsando F3) se puede pasar de la parte central
(cdigos hexadecimales) a la parte derecha (caracteres ASCII) mediante la
tecla de tabulacin. Por cierto, para cambiar de modo sin pulsar F4, basta
con pulsar Enter, y se van conmutando los tres modos de formar rotativa.
Hiew se puede inicializar directamente en modo decode. Basta con abrir el
archivo hiew.ini y cambiar el valor de StartMode de Text a Code.
En los tres modos se puede guardar el contenido de la pantalla en un
archivo, mediante la combinacin Alt+P.
EDITAR (F3)
Es la tecla a usar para efectuar los cambios en un archivo. Antes debes situar el
cursor en el primer carcter de la cadena a modificar. La posicin del cursor se
advierte porque est resaltada con otro color de fondo. Te puedes desplazar con
las teclas habituales.
Cuando se pulsa F3 el cursor aparecer en intermitencia. Puedes abandonar
el modo edicin pulsando la tecla Esc. Lo ms habitual es editar en modo
Decode, cuando se trata de efectuar cambios en los cdigos hexadecimales.
Cuando pulses F3, vers que cambia el sistema de direcciones; en lugar de
tener en la columna de la izquierda las RVA (Direcciones Virtuales
Relativas) que son las que nos aparecen en SoftIce y W32Dasm, se ven los
desplazamientos... pero eso ya es otro tema. Tambin te cambiarn los datos de la
columna de la derecha por la misma razn. En suma, asegrate bien de estar en la
RVA que deseas antes de pasar al modo Edicin para no confundirte con estos
cambios. Ahora llegamos al punto en que HIEW tiene una de sus mejores bazas:
puedes cambiar directamente el nmero hexadecimal o introducir la instruccin
ASM que
desees. Para esto ltimo, una vez situado el cursor en el punto
adecuado y tras pulsar F3, pulsas Enter (o F2) y te aparecer una ventanita
(Assembler) con la instruccin sobre la que vas a trabajar. Esto es muy cmodo
porque permite realizar algunos cambios a pelo sin necesidad de saber qu
nmeros hex (opcodes) se requieren para ello. Por ejemplo, en la ventana
Assembler puedes cambiar directamente una instruccin push ebx por push
eax con solo escribirlo; luego HIEW se encargar de hacer aparecer los opcodes
crrespondientes. Para editar las instrucciones ASM en esta ventana vienen muy
bien las teclas retroceso insertar supr inicio fin y las flechas de
dplazamiento. En cualquier momento puedes deshacer los cambios con la tecla
Esc.
104
Cuando hayas terminado de hacer los cambios deseados, pulsas F9 para guardar
los cambios, que ya no se podrn deshacer. Antes de guardar los cambios se
pueden restablecer los caracteres originales situando el cursor en el lugar deseado
y pulsando F3. Si ha salido algo mal, pulsa Esc para dejar el archivo como estaba.
El modo Hex tambin sirve para realizar cambios cuando, por ejemplo, quieres
cambiar un texto que aparece en el programa, y has localizado el punto donde se
encuentra. Caso tpico suelen ser los epgrafes de las ventanas que rezan
Unregistered o Evaluation que se quedan as aunque se hayan efectuado los
cambios necesarios para evitar los trastornos que conllevan esas limitaciones.
Bien, F5 para ir a la direccin deseada; F4 para pasar al modo Hex y F3 para
editar. Ahora, pulsando la tecla de tabulacin puedes pasar a la columna derecha
(ascii) y realizar los cambios a pelo sobre los caracteres.
En este modo Hex hay unas teclas de edicin de bytes (F4, F5, y F6) que
despliegan el valor hexadecimal en formato byte, palabra y doble palabra
respectivamente.
TERMINANDO
Con Esc se sale de HIEW. Si antes de salir se pulsa F10 se guardar la fecha actual
como fecha de modificacin del archivo (timestamp).
105
Captulo
Nuestra primera vctima.

mR Gandalf
Una vez sentadas las bases tericas ha llegado el momento de pasar a la accin. Todo lo
necesario (y mucho ms) para vencer la proteccin que utilizaremos como ejemplo ha sido
extensamente expuesto en los capitulos anteriores. Nuesra misin no ser solo la de cambiar
el byte que invierte el comportamiento del programa dejndolo a nuestra merced. Iremos ms
lejos. Entenderemos que hace exactamente el programa y las distintas formas que tenemos de
llegar a ese conocimiento. Estudiaremos su cdigo y finalmente veremos como podemos hacer
para que se comporte como queramos. La vctima elegida para nuestro primer crack es
CrackMe v1.0 de Cruehead.
Un crackme es bsicamente un programa hecho por crackers para crackers.
Como su propio nombre indica, su nica misin es la de ser craqueados y
por lo tanto son una buena fuente material para aprender, si bien algunos
son bastante complejos. El autor del ingenioso programita demuestra as su
conocimiento de rutinas de proteccin y su habilidad como coder (todo
buen cracker debe ser tambin buen coder) y el newbie aprende como evitar
esa proteccin. Hay bastantes sitios de donde bajar crackmes. Basta teclear
en Google crackme y nos saldrn un buen montn de pginas.
Personalmente recomiendo los de la pgina de Karpoff. Ah tenemos una
amplia lista para los que se detalla su autor, algo sobre el tipo de proteccin
que trata y si est resuelto o no.
Entrando en materia
Con este programita Cruehead / MiB ilustran el ms bsico de los esquemas
de proteccin. Fue posiblemente el primero de los que se usaron all por los
aos 90, cuando aparecieron las dristibuciones shareware. As pues, el
programa recibe una cadena de caracteres que debe evaluar como cierta o
falsa realizando despus una determinada accin o consecuencia.
Esquemticamente el proceso consta de: Introduccin del serial
encriptacin comparacin resultado. En cada uno de estos puntos
podemos intervenir, siendo nuestro objetivo el conseguir que la aplicacin
funcione sin limitaciones. En su variante ms primitiva la comparacin se
106
realizaba sin ningn tipo de encriptacin. El programa toma el serial que le

introducimos, lo compara con el suyo, y si son iguales el usuario queda
registrado y ya no tiene que volver a introducir nada. Sobre esta lnea
general pueden existir variaciones, por ejemplo, el programa guarda el
serial que nosotros le damos y realiza la comparacin al iniciar la prxima
sesin, o varias veces durante la ejecucin del mismo. A menudo lo que
vemos al tracear es Call rutina de comprobacin ; Test eax, eax (siendo
aqu eax el registro flag) y JE chico bueno (en la terminologa habitual,
parte del programa que ejecuta sentencias que nos registran, en
contrapartida a chico malo).
En el caso que nos ocupa, tenemos una caja de dilogo (DialogBox) que se
abre clickeando sobre Help y luego sobre register. Nos pide un nombre y un
serial. Si ponemos alguno al azar y pulsamos ok vemos el cartel de chico
malo No luck there, mate!.
107
Bsqueda del ncleo de la proteccin por

referencia a una cadena conocida
Aunque en prximos captulo se explicarn otros mtodos que se emplean
an antes de haber instalado y ejecutado por primera vez el programa,
digamos que una de las primeras cosas que debemos intentar para vencer
una proteccin es obtener su listado muerto, es decir, su cdigo
desensamblado. La mayora de los programas ponen trabas a WDasm para
que haga esto. Tambin a IDA, a TurboDebbuger y a otros. Hay toda una
serie de tcnicas para superarlas pero, igual que en el caso anterior, son
materia de futuros captulos ;-). Por suerte esto es solo un crackme y sirve
para aprender. As que vamos a Wdasm, desensamblamos y echamos un
vistazo en las String References, gesto que debe convertirse en habitual a
partir de ahora. Aparece el siguiente cuadro de texto:
Aqu vemos algo que debe resultarnos familiar: No luck there, mate! Es la
cadena de texto que aparece en la ventana cuando introducimos un serial al
azar. Si clickeamos dos veces sobre esta lnea Wdasm nos lleva hasta la
zona del cdigo donde es referenciada:
108
Como podemos ver en este explcito trozo de cdigo, el cartel que aparece
cuando fallamos es un MessageBoxA. Si tomamos referencia de la API
MessageBoxA (a m me gusta tener a mano una copia de las Crackers
Notes) comprenderemos exactamente que hace:
109
Recordamos que en la convencin stdcall que es la que maneja Win32

(salvo para svprintff()) los parmetros se pasan de derecha a izquierda, o
sea:
Adems podemos decir que todas las lneas de cdigo situadas entre el
primer ret y el ltimo son un procedimiento o una funcin, esto es, una
unidad dentro del programa que realiza una tarea concreta, en este caso
pintar una caja de mensaje. A los procedimientos se les llama desde un call
y cuando terminan de ejecutarse retornan el control a la lnea siguiente a su
llamada. Si miramos un poco mas arriba vemos:
Lo cual quiere decir que este procedimiento es llamado desde 401245.

Buscando en Wdasm esa parte del cdigo nos encontramos con:
110
Resaltado en rojo una parte del cdigo que siempre debe suscitar nuestra
atencin, aunque recordad, crackear no consiste en ir buscando como locos
un cmp o un je/jne, consiste en saber que hace el programa y como lo hace.
Vemos que segn sea la comparacin de 0401241 se realiza el
procedimiento 401245 (que acabamos de ver) o el de 0040134D. Veamos
como es este:
Es otro MessageBoxA que ya sabris interpretar vosotros mismos. Saca otra

caja de texto pero conteniendo un mensaje de xito Great work, mate! Al
parecer no hace otra cosa. En resumen, si introducimos un serial vlido nos
saca un mensaje diciendo que hemos acertado y nos manda a 004011E6 y si
fallamos nos saca un mensaje diciendo que hemos fallado y nos manda
tambin a 004011E6. Si fuera un programa real cabria esperar que en caso
de acertar metiera nuestra informacin en alguna clave de registro o en
algn fichero y la guardara ah para recordar que nos hemos registrado
correctamente. Pero esto es un crackme, no hace nada ms que eso.
111
Bsqueda a lo retro
Ahora vamos a mostrar otra forma de llegar a lo mismo. Como sabemos que
el programa lanza un mensaje de error cuando fallamos, podemos poner un
Bpx en MessageBoxA con el Sice y as caer en una parte del cdigo que
posiblemente se ejecute justo despus de realizar la comparacin del serial.
Para ello arrancamos el programa, ponemos datos al azar, ponemos el Bpx
MessageBoxA y pulsamos ok. Los lectores ms experimentados y tambin
aquellos que hayan ledo hasta aqu con ms atencin sabrn ya
exactamente que lnea va aparecer resalada en el Sice cuando este
interrumpa la ejecucin. Justamente la primera lnea de la API
MessageBoxA. Como sabemos que ha sido llamada como procedimiento
despus de empujar a la pila unos determinados valores, sabemos que
devolver la ejecucin al programa despus de uno varios rets, con lo que
ser suficiente con pulsar F12 (ejecuta hasta el siguiente ret) hasta que
volvamos a caer en el programa principal, lo cual sabremos mirando la lnea
verde que separa la ventana de comandos de la ventana de cdigo en el
Sice, que debe decir crackme1! code. Despus de pulsar una vez F12
llegamos a una parte de cdigo que ya conocemos:
Otra parte conocida. Como vemos se cae en la ejecucin del programa justo
despus de realizada la comparacin, por eso el nombre de retro. Podemos
poner un Bpx en :00401241 y ver que es lo que se compara. Una vez
paramos ah hacemos eax y ebx y vemos 000054B3 y 000054B2.
UHF casi acertamos!
Pero Por qu se comparan estos dos nmeros si ninguno de ellos es el
que nosotros introdujimos? Imaginemos que eax valiera 18055 y ebx
18054. Reconoceramos nuestro serial y deduciramos que compara el
serial bueno (18055) con el nuestro (18054) y que como no son iguales saca
el cartel de chico malo. Aunque no olvidemos una cosa, el ordenador
112
trabaja en base hexadecimal, no decimal, entonces el valor que veramos en

EBX seria 4686. Sin embargo vemos 54B2, luego nuestro serial ha sufrido
una transformacin antes de ser comparado. Es lo que se llama encriptacin,
o sea, ocultamiento. De este modo si ponemos que el serial es 54B3
seguiremos sin poder registrarnos, ya que su valor encriptado es 7FB.
An hay otra forma de llegar via retro hasta la zona del programa que nos
interesa, pero esta es ms propia de sistemas de proteccin por nag y ser
estudiada en el correspondiente captulo ;-).
Por Prediccin: Anticipndonos a la rutina de

verificacin.
En el captulo 1 veamos como BlackFenix haca una clasificacin de las
formas de abordar los distintos sistemas de proteccin, que como veis
estamos siguiendo. Es importante seguir un mtodo, sobre todo al principio,
as nos evitamos ir divagando de WDasm a Sice, de Sice a WDasm y de
paso desgastar la tecla F10. En este captulo se hablaba del sistema de
prediccin para llegar al ncleo de la proteccin. Cuando hacemos clic en
register se nos abre una ventana donde metemos los datos. Por prediccin
podemos decir: Es un DialogBoxParam !! Ponemos un Bpx ah y para.
Efectivamente es un DialogBoxParam, aunque esto no tiene mucho merito,
lo hemos visto ya en el listado muerto. No siempre se consigue ver cual es
la API y ni siquiera se consigue siempre ver el listado muerto, por eso el
mtodo de prediccin. En la prctica ponemos un Bpx en todas las APIs
que pensamos que pueden ser usadas por el programa antes de que se
ejecute eso que nos interesa. En nuestro ejemplo ponemos un Bpx en
DialogBoxParam, salta el Sice y podemos seguir traceando hacia delante
hasta llegar, por ejemplo, al cartel de chico malo. En la primera pasada tal
vez no veamos mucho pero tendremos la certeza de que hemos pasado por
encima de la rutina de verificacin del serial. Ms adelante podremos
meternos con F8 en los procedimientos (CALLs) y ver exactamente que
hace cada uno.
Otro breakpoint que nos ser de utilidad es el que ponemos en el API que
toma el serial que nosotros hemos metido en la caja de dilogo. Traceando
hacia delante desde aqu podremos ver que hace con nuestro serial hasta que
lo compara con el bueno. Hay toda una lista de APIs que hacen esto con
ligeras variaciones. En este caso es GetDlgItemTextA. Vemos que para en:
113
Echemos un vistazo a las caractersticas de este API para saber que se est
empujando a la pila:
Vemos que hay dos llamadas consecutivas a GetDlgItemTextA. La primera

es la toma del texto de la caja name.
114
La segunda la toma de la caja serial:
Todas estas aproximaciones que hemos mostrado sirven para aproximarnos

a la zona caliente, esa en la que se decide si vamos a estar registrados o no.
Una vez identificada tenemos distintas formas de eliminar la proteccin, lo
cual depende bastante del tipo de proteccin de que se trate y de cmo est
construida. De un modo general y aplicando un poco ms especialmente al
caso de los seriales y, en concreto, a nuestro ejemplo, tenemos las siguientes
formas.
El inevitable parcheo
Parchear un programa significa cambiar unos bytes por otros. Para ello se
necesita identificar el offset de los bytes que queremos cambiar, localizarlos
mediante el offset en un editor hexadecimal y cambiarlos. Si editamos un
archivo exe lo que vamos a ver son los valores ASC de los opcodes en
hexadecimal. Por lo tanto, lo que necesitamos es saber el valor en hexadecimal
de la instruccin que vamos a cambiar y de la instruccin por la que queremos
cambiarla, localizarla por medio del offset conocido y sustituirla. Esta es la
explicacin tradicional y la primera que le yo al respecto! Pero para evitar
procesos migraosos u otros de peores consecuencias mi consejo es usar
Hiew. Con Hiew podemos localizar el byte que nos interesa sin conocer su
offset y parchearlo sin conocer el opcode de la instruccin ASM. Antes de
nada haz una copia del ejecutable que vas a parchear. Abre Hiew, pulsa
Alt+F2, selecciona la unidad, luego elige el directorio y el programa. Pulsa F4 y
selecciona decode. Pulsa F5 y la direccin RVA (virtual adress) que quieres
cambiar precedida de un punto .401241. Aqu es donde vimos que se haca la
comparacin del serial encriptado.
115
En la siguiente instruccin, JE 40124C, se realiza el salto solo cuando hemos

puesto un serial correcto. Una posibilidad seria cambiar JE por JNE, o lo que
es lo mismo, 74 por 75. Entonces el programa dar por buenos todos los
nmeros menos el realmente vlido, lo cual aumenta considerablemente
nuestras posibilidades. Para esto hacemos F3 (edit), F2 (asm) y donde pone JE
ponemos JNE:
pulsamos F9 (update) y F10 (quit) y parcheado. Como podis ver en la imagen,

a la izquierda, ahora aparecen los offsets en lugar de la direccin en memoria
en las instrucciones (RVA). Esto sucede cuando pulsamo F3, que puede servir
tambin para esto. Posiblemente t hayas pensado en otras formas de
parchear. Otra ms que se utiliza mucho es hacer un JMP para que salte
siempre, sea cierta o no la comparacin, aunque hay un problemilla, veamos:
116
Como podis ver la instruccin original JE 40124C se codifica como 7407, que
ocupa 2 bytes. La nueva instruccin, JMP 40124C, se codifica como
E904000000, que ocupa 5 bytes con lo que invade los 3 primeros bytes de la
siguiente, que es el CALL que muestra el cartel de chico malo. Como a
nosotros ese cartel no nos interesa en ningn caso, terminamos de quitarlo
aadiendo 2 instrucciones nop para que no se produzca error por
desplazamiento del marco de lectura (como en las Talasemias). Seguramente
habris pensado otro buen montn de formas de parchear este programa.
Aparte del clsico 74 por 75 y viceversa y el nopeo del CALL maldito, como
dicen los castizos, no existen ms reglas predefinidas, sino que es la
compresin del sistema de proteccin y el anlisis de su cdigo lo que nos hace
decidir el parcheo ms conveniente.
El crack distribuible
Otro aspecto de este tema, quizs el ms interesante por cuestiones obvias, es
la creacin de patchers, esto es, pequeos programitas que toman un ejecutable
original y parchean esos bytes defectuosos hasta dejarlo de nuestro gusto.
Tenemos una variedad de programas que hacen esto, dependiendo nuestra
eleccin del aspecto grfico del patcher, el tamao que ocupa, la cantidad de
bytes que puede parchear y nuestras preferencias personales. Uno que a mi me
gusta bastante es Cogen, del grupo Egoiste, que se puede bajar de coders
domain. Genera parcheadotes en Turbo Assembler a partid de un fichero asm
que contiene el cdigo fuente que nosotros podemos modificar
personalizndolo. Simplemente deberemos tener el programa original sin
parchear y otro parcheado con el Hiel, pulsar el botn Generate y listo, un
pequeo parcheador de tan solo unas kbs que podemos mandar
cmodamente por e-mail a un amigo para que reviva esa aplicacin
caducada
Adems de parchear fsicamente el archivo ejecutable, podemos parchear el
programa una vez que se ha cargado en memoria. Esto es lo que hacen los
117
loaders. Permiten obtener el efecto deseado sin modificar el archivo original,

con la condicin de que lo arranquemos siempre desde el loador. Su utilidad es
especialmente relevante en el caso de ejecutables comprimidos. Aunque este
tema nos ocupar durante todo un volumen, digamos ahora que el ejecutable
comprimido no puede ser desensamblado con WDasm ni tampoco permite
parchear lo que vemos con el Sice. Su ejecucin comienza por una rutina que
desempaqueta el resto del ejecutable y lo carga en memoria, donde realmente
se encuentra el programa en s tal cual era antes de que se le aplicara un
empacador. En este tipo de archivos no funcionar un patcher, pero un loador
es posible que s lo haga. Los loaders se diferencian en cuanto al modo que
tienen de actuar y tambin de acuerdo a caractersticas como las que
describamos para los patchers. Un programa muy usado es el Risc Process
Patcher, otra joya escrita en TurboAsm que nos permite ver el cdigo fuente y
modificarlo a nuestro gusto y que adems trae una completa interfaz grfica
con la que podemos crear nuestro loador en tres pasos.
y ya estamos creando un loador. En la primera ventana
Apretamos
ponemos el nombre del programa y el nuestro, solo con fines informativos (al
FBI puede interesarle ;-). En la siguiente ponemos el archivo que queremos
parchear y el nombre que le daremos al loador. La ltima es la ms importante.
Ponemos la direccin virtual (RVA) donde esta la primera instruccin que

queremos cambiar. Escribimos en search el cdigo de la instruccin ASM
original separando cada byte por una coma y lo mismo para la instruccin con
la queremos sustituir. Aqu si que tenemos que conocer los opcodes, pero eso
lo podemos mirar con Hiew. Pulsando Finish y luego Save and Build script
tenemos hecho el loador. Si lo ejecutamos lo que veremos es que se
118
comporta igual que si estuviera fsicamente parcheado.
Obtener un serial
La mejor forma de crackear un programa siempre es introducir un serial
vlido. El programa no es modificado y todas las rutinas de comprobacin y
de registro verifican nuestra condicin de usuarios autorizados. No solo
modificamos aquellas rutinas que engaan al programa hacindolo creer que
lo estamos, lo cual demasiadas veces puede conducir a errores imprevistos.
Obtener un serial mediante ingeniera inversa supone una considerable
condicin de esfuerzo adicional ya que significa que tenemos un conocimiento
mucho ms exacto de la proteccin del programa que el requerido para un
simple parche. Tambin significa que la proteccin del programa es ms dbil
ya que hay que desmontar todas las rutinas de encriptacin partiendo de un
listado de ASM en el mejor de los casos. Sin embargo nuestro amigo crackme
es un ejemplo sencillo del mtodo a seguir. Si vemos el trozo de cdigo de la
pgina 5, que es donde se encuentra el meollo, veremos el DlgBoxParam
seguido de unas cuantas lneas de cdigo hasta llegar a la comparacin decisiva.
Sabemos que ah se realiza la encriptacin de nuestro serial y del serial bueno y
despus se comparan. Como no vemos en ese listado las instrucciones de
encriptacin, forzosamente han de estar contenidas en alguno de los CALL. Si
traceamos un poco con el Sice en seguida veremos como se hace esto:
Asi pues, parece que el meollo se cocina en esos dos CALLs. Vemoslo de
ms cerca:
119
120
Ya veis que fcilmente hemos desenmascarado la primera de las rutinas de

encriptacin. Inicialmente hace la sumatoria del valor ASC de los 10 primeros
caracteres es inferior a 40h nos saca el cartel de chico malo dos veces! Si el valor
es mayor de 5 le restara 20h, lo cual tiene la virtud de convertir las minsculas
a maysculas aunque tambin modifica el valor de otros caracteres no
alfabticos que introduzcamos. Luego toma la sumatoria de EDI y hace un
XOR con 5678. Esa es la cifra que finalmente compara con la que calcula en el
siguiente CALL.
Para ahorrarnos un poco de cdigo, que ya llevamos bastante, resumiremos de
palabra lo que hace el segundo CALL, el que encripta el serial, y aquellos que
lo deseen que lo comprueben por si mismos. Este CALL convierte el valor
literal de la cifra que introducimos como serial en un valor numrico. Despus
hace un XOR con 1234 y pasa el valor a EBX, que es el registro que se
compara con EAX para decidir si hemos dado un serial vlido o no.
Llegados a este punto nada nos impide hacernos nuestro propio serial.
Siguiendo con el ejemplo inicial, el correspondiente a mR_gANDALF es
18055. Igual que lo hacemos para este nombre podemos hacerlo para cualquier
otro. Pongamos manos a la obra.
Keygen, el mejor crack

Cuando vemos un keygen sabemos que el cracker que lo ha hecho conoce la
121
proteccin del programa al menos tan bien como el programador que lo ha

hecho y posiblemente mejor. Me encanta leer los *.nfo y los *.diz que vienen
con los keygen de esos grandes crackers. Son bonitos programas
(generalmente en ensamblador) que generan las claves a partir de los datos que
necesitan para calcularlos. Existen herramientas verdaderamente interesantes
para realizar los keygens. TMGRipper tracea desde el punto de inicio de la
rutina encriptadora siguiendo todas las ramificaciones y los CALLs hasta que
llega a un endpoint que le hemos marcado o encuentra una salida de texto a la
pantalla, como seria un cartel de chico malo. KeGenMaker es un programa en
TurboAsm de crackers polacos que nos permite aadir la rutina de encriptado
al esqueleto de un programa ASM, que es la interfaz del KeyGen. Para MASM
hay varias utilidades que hacen esto mismo, como Muaddibs. Se pueden
hacer KeyGens en ASM con poco esfuerzo utilizando estas bonitas
herramientas, pero eso es materia de otro captulo ;-) Sin embargo, vamos a
realizar nuestro primer keygen en Visual Basik 6 para simplificar bastante la
tarea. Como en cualquier lenguaje, lo primero que tenemos que hacer antes de
empezar a teclear cdigo es tener una idea exacta de lo que va a hacer el
programa. En nuestro caso una funcin que calcule el serial vlido en base a
un nombre de 10 caracteres o menos dado. Dicho serial ha de cumplir la
siguiente condicin:
Sabiendo que Xor es la funcin inversa de s misma.:
Entonces calcularemos el serial elegido en 3 sencillos pasos:

1. Calcular la sumatoria del valor ASC de cada letra de name
2. Hacer un Xor entre el nmero anterior y 5678
3. Hacer un Xor entre el nmero anterior y 1234
Estas son las funciones de VB que debemos escribir, adems de una sencilla
interfaz como la de la imagen.
122
La caja de texto correspondiente a clave est deshabilitada y solo se llena con

un serial calculado en base al contenido de Nombre cuando clickeamos
Generar. Debemos escribir las siguientes funciones:
1. Clculo de la sumatoria del valor ASC de las letras de Nombre:
Funcin SUMATEXTO().
2. Clculo de la equivalencia decimal a binario y viceversa: binary() y
Base_10()
3. Clculo de la funcin Xor, que slo se puede hacer a partir de nmeros
binarios y que VB solo emplea como operador lgico de relacin y no
como operador binario, a diferencia de ASM, por ejemplo, funcin
F_Xor().
El cuerpo principal del programa quedara como sigue:
Option Explicit
Private Sub Command1_Click()
Dim I As Byte, suma_binaria As String, suma_binaria_filtro1 As String, filtro1
As String, filtro2 As String
Suma_binaria = binary (Str (SUMATEXTO(Text1))) Calcula sumatorio
ASC name y lo pasa a
binario para hacer un xor
Filtro = binary (22136) -22136d = 5678h
Suma_binaria_filtro1 = F_Xor (suma_binaria, filtro1) Xor de sumatorio
ASC name y 5678, equivale
a EAX de 00401241 cmp
eax, ebx
Filtro2 = binary (4660) -4600d = 1234h
If not text1 = Then text2 = Str(base_10(F_Xor(suma_binaria_filtro1,
filtro2))) Xor del nombre encriptado y 1234h, valor final del serial
End Sub
Y eso es todo por este captulo, el que cierra el primer volumen.
mR gANDALF
123

Volumen I

Cargado por

Copyright:

Formatos disponibles

Volumen I

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Volumen I

Cargado por

Copyright:

Formatos disponibles

INTRODU CCIN

Hace un ao, aproximadamente, un

conocimientos. Quiero decir a los

miles de cracks con cada consulta.

Por otro lado, quisiera agradecer a

para poder llegar a comprender

Ricardo Narvaja, Abril 2002

mR gANDALF, Abril 2002

GUA GENERAL DE CRACKING BAJO WINDOWS

Qu necesito para entrar en combate?

Representacin de datos, etiquetas

Sistemas de Proteccin mas usuales

Otras instrucciones importantes

Como llegar al ncleo de la proteccin

Otras instrucciones interesantes

Sistemas de proteccin por tiempo

Introduc. al coprocesador matemtico

Sistemas de proteccin por banner/nags

Sistemas de proteccin, CD-Checks

Sistemas de proteccin anticopia

THE TOOLS OF TRADE I: W32dams 8.x

Empezando: Desensamblando calc.exe

ENSAMBLADOR I: CONCEPTOS BASICOS

Guardando el texto desensamblado y

Algunos conceptos previos

Juegos de registros de los 80x86

La orden mov y el acceso a memoria

Codificacin de una instruccin

Las operaciones lgicas

Las operaciones aritmticas

FLAGS e instrucciones de comparacin

Saltos, y saltos condicionales

creando un Project file

Abriendo un archivo Project existente

Navegando el texto desensamblado

Cargando una aplicacin de 32 bits en

Corriendo, pausando y terminando un

Colocando y activando brakpoints

Adjuntando un proceso activo

Modificar registros, flags, memoria e

Explorando los mdulos de llamadas

Detalles de las API de windows

THE TOOLS OF TRADE II: Introduccin al SoftICE

Cmo instalo el softICE?

Cmo configuro el softICE?

FAQ: Primeros pasos con el softICE

Traceando a travs del cdigo

Ver y editar la memoria

Usando smbolos y NMSYM

Opciones de la lnea de comandos

Obteniendo informacin de sistema

Buscando por cadena conocida

Capturando Fallas de Proteccin Gnral.

Keygen, el mejor crack

EDITORES HEXADECIMALES: HEX VIEW

Explicacin de las opciones

NUESTRA PRIMERA VCTIMA

Gua General de Craking

ienvenidos a lo que pretende ser una gua general de cracking bajo

Qu necesito para entrar en combate?