1
00:00:03,340 --> 00:00:11,620
Bien en la clase anterior buscamos el Mago Negro jalamos el Registration files que fue la leyenda buscamos

2
00:00:11,710 --> 00:00:17,810
con Edith Saint encontramos una referencia de salto condicional incondicional.

3
00:00:17,830 --> 00:00:27,420
Jota Jota N A ESA a esa ventana que hacía aparecer esa leyenda Registration filet ahora vamos a encontrar

4
00:00:27,510 --> 00:00:31,160
el ófset es decir el desplazamiento dentro del archivo binario.

5
00:00:31,170 --> 00:00:33,560
Cómo se hace esto desde el ensamblador.

6
00:00:33,600 --> 00:00:39,240
Se hace desde el menú gato como se puede ver acá y después dentro de las cuatro opciones de Katu hay

7
00:00:39,240 --> 00:00:45,940
que elegir la que dice Gato lo que hay Yosi o sea ir hacia localizacion dentro del código.

8
00:00:45,940 --> 00:00:51,900
Okey desde esa ventana vamos a ver que podemos observar en la parte inferior el offset dentro del binario

9
00:00:51,910 --> 00:00:58,260
de hecho si se fijan va a decir que es el upset dentro del binario y Novara el nombre en este caso WinRAR

10
00:00:58,280 --> 00:00:59,480
95.1.

11
00:00:59,940 --> 00:01:05,970
Así que para no confundirse nunca se les está diciendo que es un offset de algo punto ExE ya saben que

12
00:01:05,970 --> 00:01:14,840
es un obseso de algo binario compilado que si uno obra sobre ese offset de algo binario compilado lo

13
00:01:14,840 --> 00:01:20,750
va a tener que hacer para modificarlo en un principio y que los datos queden plasmados para siempre

14
00:01:20,750 --> 00:01:22,220
con un editor hexadecimal.

15
00:01:22,220 --> 00:01:26,920
Como vamos a ver en la próxima clase primero se puede probar todo virtual acá.

16
00:01:27,680 --> 00:01:30,490
En este software pero modificando esas líneas en la RAM.

17
00:01:30,560 --> 00:01:30,930
Ok.

18
00:01:31,160 --> 00:01:37,310
Pero como dije si uno quiere volver a grabar el binario tiene que utilizar el offset dentro del archivo

19
00:01:37,310 --> 00:01:38,240
punto ExE.

20
00:01:38,240 --> 00:01:43,730
Vamos a hacerlo hoy ya RFEDI Yourself en la clase anterior.

21
00:01:43,730 --> 00:01:52,460
Averiguamos qué línea hacía la comparación con la frase Registration fail es decir el Mago Negro.

22
00:01:52,460 --> 00:02:00,500
Llegamos hasta esta ventana en donde nos decía que este string ha sido referenciado por un salto condicional

23
00:02:00,500 --> 00:02:01,380
o incondicional.

24
00:02:01,400 --> 00:02:09,130
Jota Jota né que son los que buscamos en esta dirección de memoria cero 041 13 CTF vamos y anotarla

25
00:02:09,710 --> 00:02:26,600
a anotarla 0 cero 41 3 C 7 0 0 41 13 7 F si lo que está entre paréntesis nueva es la dirección de la

26
00:02:26,600 --> 00:02:29,330
memoria del programa es ensamblado.

27
00:02:29,430 --> 00:02:32,340
Cómo averiguamos el ófset en el binario.

28
00:02:32,340 --> 00:02:35,670
Bueno primero vamos a esa línea dentro del código de ensamblado.

29
00:02:35,820 --> 00:02:43,250
Cómo vamos vamos acá arriba donde dice Katu menú Matuk y donde dice Ghouta location es decir ir a una

30
00:02:43,260 --> 00:02:48,050
localización del código a un lugar adonde la que acabamos de anotar.

31
00:02:48,480 --> 00:02:54,940
La Norte acá en este bloque se alcanza a ver cero cero que hay

32
00:02:58,140 --> 00:03:07,390
cero cero decía cuarenta y uno tres se siete.

33
00:03:08,500 --> 00:03:14,170
F si es verdad nos tienen que llevar a un Jota Jota n hay dentro del código de ensamblado.

34
00:03:15,690 --> 00:03:23,260
Vamos a ver si cierto bien como podemos ver acá arriba ahora es en azul nos pone la línea que le pusimos.

35
00:03:23,260 --> 00:03:30,350
Estamos en la línea 00 41 13 7C el programa que ejecuta la instrucción en código ensamblador ejecuta.

36
00:03:30,370 --> 00:03:38,890
JN Sí Gotan es una comparación que salta si los datos no son iguales a dónde salta a esta dirección

37
00:03:38,890 --> 00:03:45,280
de memoria no nos importa que haya acá podemos seguir buscando pero ya sabemos dónde hace la comparación.

38
00:03:45,280 --> 00:03:52,660
Cómo averiguamos esto mismo en el ófset en hexadecimal donde tenemos que ver un 75 porque es un JND

39
00:03:53,190 --> 00:03:55,410
75 dentro del código acá abajo

40
00:03:58,060 --> 00:04:03,750
dice ófset ófset Ben.

41
00:04:04,190 --> 00:04:13,270
Dice dentro de cada data de esto es la dirección que acabamos de poner y dentro de buena dice infantil

42
00:04:13,660 --> 00:04:18,600
y acasa alcanza a leer que es el archivo WinRAR bueno creanme que dice punto ExE ok.

43
00:04:20,310 --> 00:04:24,220
Y este es el offset dentro de el punto eixe.

44
00:04:24,340 --> 00:04:31,270
Eso sí tenemos que agarrar con el editor hexadecimal anoten triples cero 132 7 F la h no la ponga porque

45
00:04:31,270 --> 00:04:41,280
es el tipo de numeración que se hexadecimal ok vamos a antes de plasmar esta reforma vamos a probarlo

46
00:04:41,340 --> 00:04:47,580
en forma virtual sin modificar realmente el ejecutable lo podemos hacer con este programa en la próxima

47
00:04:47,580 --> 00:04:47,900
clase.