Ayuda a quitar armadillo

Incognitum-x · 22 Febrero 2008, 18:11 PM

Pues he estado leyendo manuales del foro e informandome sobre el tema pero no consigo aclararme el como hacer para quitar la proteccion.

Analizando con el armFp:
Enable Memory-Patching Protections
!- <Backup Key Options>
Variable Backup Keys
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Store Environment Vars Externally
?- Signature 46941D80 11-07-2007

lo primero que estoy buscando es el call emcriptador pero lo que encuentro no se le parece en nada a los manuales que estoy leyendo si alguien me puede echar una mano lo agradezco y perdonar la torpeza pero no se mucho sobre el tema.

El programa en cuestion lo dejo adjunto ademas de una foto para ver si lo que hago es correcto, por si alguien me quiere ayudar.

Un saludo y gracias de ante mano.

http://rapidshare.com/files/94001905/nody.zip.html

Incognitum-x · 22 Febrero 2008, 19:49 PM

para mayor dificultad me doy cuenta que dependiendo el analizador que le pase al programa me dice que esta comprimido con diferentes programas incluso me ha llegado a decir que esta comprimido con 3. el blowfish el crc32 y el tea

tena · 22 Febrero 2008, 21:23 PM

es un armadillo con todas sus armas:
<------- 22-02-2008 17:54:32 ------->
D:\Noddy 3.4.exe
!- Protected Armadillo
Protection system (Basic)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
No Registry Keys at All
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
Store Environment Vars Externally
Disable Monitoring Thread
Use eSellerate Edition Keys
Don't Fall Back to Stand-Alone Mode
!- Version 4.48

tena · 22 Febrero 2008, 21:58 PM

Bajate este tute de NCR y Marcianoi que esta muy bueno

http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/657-Armadillo%20v4.40%20CopyMemII%20DebugBlocker%20Import%20Table%20Elimination%20por%20NCR%20y%20marciano.rar

0044EF50 CALL Noddy_3_.0044F2A0 <==descifra
0044F21B CALL Noddy_3_.0044F2A0 <==cifra

Saludos
tena

tena · 22 Febrero 2008, 23:49 PM

Este es el oep

00412FA0 PUSH EBP
00412FA1 MOV EBP,ESP

y no tiene iat scramble

0041C544 77D1F652 USER32.CallWindowProcA
0041C548 77D2D9B8 USER32.ChildWindowFromPoint
0041C54C 77D2935C USER32.CopyIcon
0041C550 77D1D4FE USER32.DefWindowProcA
0041C554 00BA0F10
0041C558 77D1F797 USER32.EnableMenuItem
0041C55C 77D1B62D USER32.EndPaint
0041C560 77D55279 USER32.EnumPropsA
0041C564 77D1C267 USER32.FillRect
0041C568 77D1D668 USER32.GetActiveWindow

Suerte

Incognitum-x · 23 Febrero 2008, 00:58 AM

Lo primero muchas gracias por tu aporte y atencion.

Bueno pues creo que lo hize bien , ahora ya no tiene el armadillo o eso creo yo
he vuelto a analizar el programa con este analizador: RDG packet detector.

por un lado me dice que esta compilado en powerbasic/cc 3.0 x y por otro lado veo que aun me pone que es posible que este protegido con armadillo heuristica.

No se seguire de nuevo el manual , de todas formas dejo aqui mi "avance" por si quieres echarle un vistazo , muchas gracias por tu tiempo.

http://rapidshare.com/files/94099368/semicracking.rar.html

tena · 23 Febrero 2008, 03:15 AM

Funciona perfecto y en un solo proceso.

Felicitaciones

tena

Incognitum-x · 23 Febrero 2008, 15:30 PM

Hola Tena te sigo molestando , mira el programa como te dije sigue emcriptado,

te paso el codigo cifrado

8B4DFC8B51048955B8C745BC2037EFC6C745C0200000008B45C08B4DC083E901894DC085C076558B55C4C1E2040355E88B45C40345BC33D08B4DC4C1E905034DEC33D18B45B82BC28945B88B4DB8C1E104034DF88B55B80355BC33CA8B45B8C1E8050345F033C88B55C42BD18955C48B45BC054786C8618945BCEB9B8B4DFC8B55C489118B45FC83C0048945FC8B4DFC8B55B889118B45FC83C0048945FC837D14007D0C8B4DC4894DF08B55B88955ECE937FFFFFF8BE55DC3

este pedazo de codigo esta cifrado con el blowfish, como podemos hacer para desemcriptarlo??

solidcls · 24 Febrero 2008, 03:24 AM

El programita ya esta desempacado, como dijo Tena, yo tambien lo baje y lo revise. yo lo habia hecho y te lo estaba por enviar, pero bueno, ya lo tenes resuelto. el tuyo esta perfecto.

solid.

Incognitum-x · 24 Febrero 2008, 13:32 PM

gracias solidcls por haverte preocupado en mirar el programa e incluso con la intencion de mandarmelo, pero creo y corregirme si me equivoco que el programa sigue codificado es verdad que ya no tien el armadillo y que puedes cambiar botones y demas pero hay una parte de el que sigue criptad con el blowfisth como dije antes , lo se por dos cosas una de ellas es por los analizadores y la segunda es que en el programa tien que haber unas instrucciones que nesesito saber y eso no aparece. ademas si busco el serial del progrma no aparece eso es otra cosa por la cual creo que el programa no esta totalmente desprotegido.

Un saludo y gracias