Ayuda a quitar armadillo

Iniciado por Incognitum-x, 22 Febrero 2008, 18:11 PM

0 Miembros y 1 Visitante están viendo este tema.

Incognitum-x

Pues he estado leyendo manuales  del foro e informandome sobre el tema pero no consigo aclararme el como hacer para quitar la proteccion.

Analizando con el armFp:
Enable Memory-Patching Protections
!- <Backup Key Options>
Variable Backup Keys
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Store Environment Vars Externally
?- Signature 46941D80 11-07-2007

lo primero que estoy buscando es el call emcriptador pero lo que encuentro no se le  parece en nada a los manuales que estoy leyendo si alguien me puede echar una mano lo agradezco y perdonar la torpeza pero no se mucho sobre el tema.

El programa en cuestion lo dejo adjunto ademas de una foto para ver si lo que hago es correcto, por si alguien me quiere ayudar.

Un saludo y gracias de ante mano.


http://rapidshare.com/files/94001905/nody.zip.html

Incognitum-x

para mayor dificultad me doy cuenta que dependiendo el analizador que le pase al programa me dice que esta comprimido con diferentes programas incluso me ha llegado a decir que esta comprimido con 3. el blowfish el crc32 y el tea

tena

es un armadillo con todas sus armas:
<------- 22-02-2008 17:54:32 ------->
D:\Noddy 3.4.exe
!- Protected Armadillo
Protection system (Basic)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
No Registry Keys at All
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
Store Environment Vars Externally
Disable Monitoring Thread
Use eSellerate Edition Keys
Don't Fall Back to Stand-Alone Mode
!- Version 4.48

tena

Bajate este tute de NCR y Marcianoi que esta muy bueno

http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/657-Armadillo%20v4.40%20CopyMemII%20DebugBlocker%20Import%20Table%20Elimination%20por%20NCR%20y%20marciano.rar

0044EF50   CALL Noddy_3_.0044F2A0   <==descifra
0044F21B   CALL Noddy_3_.0044F2A0   <==cifra

Saludos
tena

tena

Este es el oep

00412FA0  PUSH EBP
00412FA1  MOV EBP,ESP

y no tiene iat scramble

0041C544  77D1F652  USER32.CallWindowProcA
0041C548  77D2D9B8  USER32.ChildWindowFromPoint
0041C54C  77D2935C  USER32.CopyIcon
0041C550  77D1D4FE  USER32.DefWindowProcA
0041C554  00BA0F10
0041C558  77D1F797  USER32.EnableMenuItem
0041C55C  77D1B62D  USER32.EndPaint
0041C560  77D55279  USER32.EnumPropsA
0041C564  77D1C267  USER32.FillRect
0041C568  77D1D668  USER32.GetActiveWindow

Suerte

Incognitum-x

#5
Lo primero muchas gracias por tu aporte y atencion.

Bueno pues creo que lo hize bien , ahora ya no tiene el armadillo o eso creo yo
he vuelto a  analizar el programa  con este analizador: RDG packet detector.

por un lado me dice que esta compilado en powerbasic/cc 3.0 x y por otro lado veo que aun me pone que es posible que este protegido con armadillo heuristica.

No se seguire de nuevo el manual , de todas formas dejo aqui mi "avance" por si quieres echarle un vistazo , muchas gracias por tu tiempo.

http://rapidshare.com/files/94099368/semicracking.rar.html

tena

Funciona perfecto y en un solo proceso.

Felicitaciones

tena

Incognitum-x

Hola Tena te sigo molestando , mira el programa como te dije sigue emcriptado,

te paso el codigo cifrado

8B4DFC8B51048955B8C745BC2037EFC6C745C0200000008B45C08B4DC083E901894DC085C076558B55C4C1E2040355E88B45C40345BC33D08B4DC4C1E905034DEC33D18B45B82BC28945B88B4DB8C1E104034DF88B55B80355BC33CA8B45B8C1E8050345F033C88B55C42BD18955C48B45BC054786C8618945BCEB9B8B4DFC8B55C489118B45FC83C0048945FC8B4DFC8B55B889118B45FC83C0048945FC837D14007D0C8B4DC4894DF08B55B88955ECE937FFFFFF8BE55DC3

este pedazo de codigo esta cifrado con el blowfish, como podemos hacer para desemcriptarlo??

solidcls

El programita ya esta desempacado, como dijo Tena, yo tambien lo baje y lo revise. yo lo habia hecho y te lo estaba por enviar, pero bueno, ya lo tenes resuelto. el tuyo esta perfecto.

solid.
Solid [CrAcKsLaTiNoS]

Incognitum-x

gracias solidcls por haverte preocupado en mirar el programa e incluso con la intencion de mandarmelo, pero creo y corregirme si me equivoco que el programa sigue codificado es verdad que ya no tien el armadillo y que puedes cambiar botones y demas pero hay una parte de el que sigue criptad con el blowfisth como dije antes , lo se por dos cosas una de ellas es por los analizadores y la segunda es que en el programa tien que haber unas instrucciones que nesesito saber y eso no aparece. ademas si busco el serial del progrma no aparece eso es otra cosa por la cual creo que el programa no esta totalmente desprotegido.

Un saludo y gracias