uSo DeL PRoCDuMP
La verdad es que no se que decir de esta magnifica utilidad creada por G-RoM, Lorian & Stone. Para empezar decir que es un Desempakador\Desencriptador, ademas de un Editor de encabezamientos PE y Dumpeador.
En esta seccion tan solo mencionare su manejo de forma basica sin adentrarme en profundidad en el uso del programa, tan solo es un simple indice a seguir. Si estais interesados en conocer el ProcDump en profundidad, leed el archivo de ayuda del ProcDump traducido por Karpoff (podeis bajarlo de aqui). Antes de nada aclararos que la version que voy a comentar es la ProcDump32 v1.6.2 FINAL.
Despues de esta introduccion deberiamos empezar... no creeis? Pues venga a ello!!!
Tras haber instalador el ProcDump, lo ejecutamos y veremos esto:
Empecemos con las secciones del programa:
- En el recuadro de arriba podremos observar una serie de datos sobre los programas que estan cargados en memoria:
Task PID Address Size Owner Path y Programa Numero de identificacion del proceso Direccion de memoria en la que esta cargado Tamaño de memoria cargada en memoria ???
Si selecionamos con el boton secundario del raton (boton derecho para los cortitos ;)) un programa nos aparecera un menu que nos dara la posibilidad de:
- Dump (Full) y Dump (Partial): Nos permite guardar en un fichero el programa cargado; completamente (Full) o parcialmente, es decir, entre dos direcciones determinadas por ti (Partial). estas secciones son muy utiles para poder guardar en un fichero programas desempacador con el SICE.
- Kill task: Sirve para eliminar el proceso de la memoria.
- Process Infos: Permite modificar el encabezamiento PE del proceso cargado.
- Refresh list: Refresca la lista por si algun proceso ha sido cargado y no aparece en la lista.
- Si selecionamos con el raton unos de los programas que estan cargados en memoria (los del recuadro de arriba) podremos observar que aparecen otra serie de datos, pues estos datos son los modulos (habitualmente DLLs) necesarios para el correcto funcionamiento del programa.
Module MID Address Size Path y Modulo Numero de identificacion del modulo Direccion de memoria en la que se encuentra almacenado Tamaño del modulo
Si selecionamos con el boton secundario del raton (boton derecho para los cortitos ;)) un programa nos aparecera un menu que nos dara la posibilidad de:
- Dump (Full) y Dump (Partial): Nos permite guardar en un fichero el programa cargado; completamente (Full) o parcialmente, es decir, entre dos direcciones determinadas por ti (Partial). estas secciones son muy utiles para poder guardar en un fichero programas desempacador con el SICE.
- Despues vemos una serie de botones, que vamos a ir describiendo:
-
: Desempaka y desencripta el programa que tu elijas. Antes de eso te pide que le indiques el tipo de proteccion que posee (la cual os aconsejo que sepais), y si no la sabeis os da tambien la opcion *Unknown* de la cual no me fio mucho (lo digo por experiencia). Despues de selecionar el tipo de proteccion, elejis el programa; este lo desempaka\desencripta y te pide nombre y path para guardar el archivo final (listo para ser traceado ;))
-
: Sirve para la reconstruccion de un encabezamiento PE. Esto es util para archivos empacados, porque el tamaño de la sección desempacada es mayor que el de la empacada (si os digo la verdad, yo no lo he usado nunca).
-
: Nos permite modificar el encabezamiento de un archivo PE. Esta parte es de las mas usadas por los crackers ya que nos permite saber ciertos datos importantes sobre un ejecutable.
Al hacer clic nos pide el path del ejecutable a modificar, y despues nos proporciona Entry Point (Punto de entrada), Size of Image (Tamaño de la imagen) y Image Base (Base de la imagen).
Despues si entramos en Sections podremos obtener informacion imporante como: .text, .CODE, .rsrc, .rdata, -data, .idata etc (para saber que es esto seguir los tutoriales sobre los encabezamientos PE de Numit_Or). Ademas de poder saber si esta empacado ya que suelen aparecer datos como estos: .UPX, .aspack, etc Comentar que estos datos pueden ser modificados, importados, exportados (dumpeados)...todo ello con un simple clic secundario.
Podemos tambien entrar en Directory el cual nos abrira una nueva ventana con los datos del directorio (yo tan solo he utilizado estos datos para investigar a fondo el comportamiento de un empacador).
-
: Bhrama es un servidor que permite a los clientes ordenar cuando volcar una tarea determinada.
-
: Apartado que nos permite configurar apartados basico para el corecto funcionamiento del programa.
![]()
-
: Informacion sobre los creadores, CopyRight, etc
-
: La verdad es que no se que deciros de esta opcion xDDDD