tutorial del jefe ricardo narvaja 83-armadillo 3 superexplicado lydia desempacado parte1

estoy atorado en el paso ke dice:


"4TO PASO: NOPEO EL CALL ENCRIPTADOR

Ya vimos en los tutes anteriores que cuando paramos aquí estamos en el call desencriptador de hecho el padre esta desencriptando un bloque en el hijo, ahora también hay un call encriptador o destructor mejor llamado, o sea que luego de copiarle varios bloques el padre comienza a destruir los bloques ya usados para no permitir el dumpeo ya que nunca se encontrarían todos los bloques en memoria a la vez, este call malo hay que nopearlo, pero ... como lo hallo?
Como aun estoy en la api WriteProcessMemory voy al CALL STACK (letra K) y allí veo.



En el call stack lo superior es donde estamos actualmente , o sea la api alli en CALLED FROM muestra el call 4684A4 que es el call a la api desde el ejecutable como ese call esta dentro del call desencriptador dicho call desencriptador es el siguiente o sea"



mi problema es ke al abrir el call stack no veo ninguna llamada y en el tuto es la base del paso 4

tengo una pentium 4, winxp pro y lo intenté con el ollydbg 1.08 1.09d y 1.1c teniendo siempre el mismo resultado

tal vez me puedan ayudar
mil gracias

nota: el post esta en español por ke va principalmente dirigido al mismisimo jefe ricardo

si el call stack no te muestra la informcion, el mismo stack siempre la muestra, baja desde donde ests en el stack mirando los RETURN TO .....

Fijate de donde son llamados dichos RETURN TO... es la mism informacion del call stack, si vas bajando y mirando los RETURN y vuendo cuales vienen de esa zona, lo encontraras igual que en el call stack.

Ricardo

Nas,

solo decir que el Stack es la ventana de abajo a la derecha y que muestra los valores introducidos en la pila... así como valores de retorno etc... quizás lo k no ve es el Stack de la tecla "K" ... así que guíate por la vetana de abajo - derecha ...
Salu2...

de nuevo yo, ya use otra computadora para ver si mi makina no me dejaba ver el call stack y lo mismo, segui sus consejos, muchas gracias por ellos pero al seguir los returns, ninguno me llevó a la funcion de encripta/decripta, nada parecido a lo del tutorial :-(, no se ke pasé, lo he intentado mas de 30 veces y nada, intentando cambiar pekeñas cosas y nada,

me gustaria poner una imagen para ke vieran la diferencia entre lo ke se ve en el tuto y lo ke yo veo, para empezar, en el tuto paso 4 yo no veo de donde se hace la llamada

y al ir directamente a la direccion del tuto y kerer ver las funciones de encripta y decripta no salen

vale la pena resaltar ke uso el mismo proograma del tuto bajado del ftp de ricardo, las dirrecciones tambien coinciden en los primeros 3 pasos,

me gustaria saber si hay otra forma ya ke seguir los RETURN TO de la STACK (abajo a la derecha) no me funcionaron :-(

Saludos

mira lo que esta en el call stack, tambien esta en el stack solo debes ir bajando desde donde estas y anotando los lugares de los returns que vienen de la zona donde esta el call (no de apis o otras zonas) y llegas perfecto a la misma parte, lo hemos hecho cientos de veces en ese programa y en otros.
Mandame las imagenes del stack a ver a mi mail
ricnar22@millic.com.ar
Quizas a vos te confunda el ofuscado hay que no marearse con eso.
Ricardo

Hola otra vez, ya encontré el problema ke yo tenia, no estaban bien mis settings, se compuso el problema al bajar el OLLYDBG.INI de la pagina de crackslatinos.hispanodominio.net, es una maravilla.

espero ke este problema le ayude a otras personas a arreglar esas peqkeñas pero significativas molestias y problemitas.

mil gracias a Ricardo Narvaja y ShadowDark por sus coemntarios de ayuda.

saludos y con esto doy por cerrado el caso