Pues he estado leyendo manuales del foro e informandome sobre el tema pero no consigo aclararme el como hacer para quitar la proteccion.
Analizando con el armFp:
Enable Memory-Patching Protections
!- <Backup Key Options>
Variable Backup Keys
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Store Environment Vars Externally
?- Signature 46941D80 11-07-2007
lo primero que estoy buscando es el call emcriptador pero lo que encuentro no se le parece en nada a los manuales que estoy leyendo si alguien me puede echar una mano lo agradezco y perdonar la torpeza pero no se mucho sobre el tema.
El programa en cuestion lo dejo adjunto ademas de una foto para ver si lo que hago es correcto, por si alguien me quiere ayudar.
Un saludo y gracias de ante mano.
(http://img171.imageshack.us/img171/8870/dibujonq9.jpg)
http://rapidshare.com/files/94001905/nody.zip.html
para mayor dificultad me doy cuenta que dependiendo el analizador que le pase al programa me dice que esta comprimido con diferentes programas incluso me ha llegado a decir que esta comprimido con 3. el blowfish el crc32 y el tea
es un armadillo con todas sus armas:
<------- 22-02-2008 17:54:32 ------->
D:\Noddy 3.4.exe
!- Protected Armadillo
Protection system (Basic)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
No Registry Keys at All
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
Store Environment Vars Externally
Disable Monitoring Thread
Use eSellerate Edition Keys
Don't Fall Back to Stand-Alone Mode
!- Version 4.48
Bajate este tute de NCR y Marcianoi que esta muy bueno
http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/657-Armadillo%20v4.40%20CopyMemII%20DebugBlocker%20Import%20Table%20Elimination%20por%20NCR%20y%20marciano.rar (http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/657-Armadillo%20v4.40%20CopyMemII%20DebugBlocker%20Import%20Table%20Elimination%20por%20NCR%20y%20marciano.rar)
0044EF50 CALL Noddy_3_.0044F2A0 <==descifra
0044F21B CALL Noddy_3_.0044F2A0 <==cifra
Saludos
tena
Este es el oep
00412FA0 PUSH EBP
00412FA1 MOV EBP,ESP
y no tiene iat scramble
0041C544 77D1F652 USER32.CallWindowProcA
0041C548 77D2D9B8 USER32.ChildWindowFromPoint
0041C54C 77D2935C USER32.CopyIcon
0041C550 77D1D4FE USER32.DefWindowProcA
0041C554 00BA0F10
0041C558 77D1F797 USER32.EnableMenuItem
0041C55C 77D1B62D USER32.EndPaint
0041C560 77D55279 USER32.EnumPropsA
0041C564 77D1C267 USER32.FillRect
0041C568 77D1D668 USER32.GetActiveWindow
Suerte
Lo primero muchas gracias por tu aporte y atencion.
Bueno pues creo que lo hize bien , ahora ya no tiene el armadillo o eso creo yo
he vuelto a analizar el programa con este analizador: RDG packet detector.
por un lado me dice que esta compilado en powerbasic/cc 3.0 x y por otro lado veo que aun me pone que es posible que este protegido con armadillo heuristica.
No se seguire de nuevo el manual , de todas formas dejo aqui mi "avance" por si quieres echarle un vistazo , muchas gracias por tu tiempo.
http://rapidshare.com/files/94099368/semicracking.rar.html
Funciona perfecto y en un solo proceso.
Felicitaciones
tena
Hola Tena te sigo molestando , mira el programa como te dije sigue emcriptado,
te paso el codigo cifrado
8B4DFC8B51048955B8C745BC2037EFC6C745C0200000008B45C08B4DC083E901894DC085C076558B55C4C1E2040355E88B45C40345BC33D08B4DC4C1E905034DEC33D18B45B82BC28945B88B4DB8C1E104034DF88B55B80355BC33CA8B45B8C1E8050345F033C88B55C42BD18955C48B45BC054786C8618945BCEB9B8B4DFC8B55C489118B45FC83C0048945FC8B4DFC8B55B889118B45FC83C0048945FC837D14007D0C8B4DC4894DF08B55B88955ECE937FFFFFF8BE55DC3
este pedazo de codigo esta cifrado con el blowfish, como podemos hacer para desemcriptarlo??
El programita ya esta desempacado, como dijo Tena, yo tambien lo baje y lo revise. yo lo habia hecho y te lo estaba por enviar, pero bueno, ya lo tenes resuelto. el tuyo esta perfecto.
solid.
gracias solidcls por haverte preocupado en mirar el programa e incluso con la intencion de mandarmelo, pero creo y corregirme si me equivoco que el programa sigue codificado es verdad que ya no tien el armadillo y que puedes cambiar botones y demas pero hay una parte de el que sigue criptad con el blowfisth como dije antes , lo se por dos cosas una de ellas es por los analizadores y la segunda es que en el programa tien que haber unas instrucciones que nesesito saber y eso no aparece. ademas si busco el serial del progrma no aparece eso es otra cosa por la cual creo que el programa no esta totalmente desprotegido.
Un saludo y gracias
El programa esta perfectamente desempacado, ya no tiene armadillo, todo el resto que pueda tener es parte pura y exclusiva del programa mismo, pero ya no tiene packer, lo qeu vos querias era quitar el armadillo y ya lo has hecho.
el resto es otra historia
saludos.
solid.
Okis , bueno una vez desempacado el progrma tengo posibilidad de cambiar botones ... pero ahora bien otra cosa que quiero hacer y es quitar estos sistemas de criptacion( como vemos en la foto).
http://rapidshare.com/files/94532313/Dibujo1.JPG.html
aqui dejo algo para el que se anime tengo informacion. gracias a todos si encontrais los datos y nesesitais hacer el xor y no teneis programas para ello pedirlo.
http://rapidshare.com/files/94529680/VisualProtect.rar.html
Hola tengo un problema similar estoy intentando quitar una proteccion armadillo pero no logro identificar exactamente cual es la version me ha llegado a detectar el RDG como themida y como asprotect y estoy confundido puedo subir el soft en cuestion para que me ayuden a identificarlo por favor.
RDG me dice armadillo 3.7-4.x y tambien me dice con metodo potente
visual basic 6 codigo nativo, xtreme protector 1.08 y themida heuristica (comprimido) he seguido guias pero no se acercan ni un poco con lo que veo en el olly por favor ayudenme.
<------- 21-01-2010 03:21:46 ------->
C:\Documents and Settings\Administrator\Desktop\idenu cracked.exe
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Memory-Patching Protections
!- <Backup Key Options>
No Registry Keys at All
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
Use Digital River Edition Keys
4AE4E680 Version 7.00 26-10-2009
!- Elapsed Time 00h 00m 09s 274ms
Barbosah, no te preocupes tanto de que version es y que protecciones tiene, cuando lo empieces a desempacar te vas a ir dando cuenta. Lo que quiero decir, es que no es necesario conocer ni siquiera de que packer se trata para desempacarlo, se va resolviendo a medida que vas viendo lo que hace, el resto es solo para tener una idea a que te vas a enfrentar, pero lo ideal seria poder enfrentarse a todo por igual, sin importar como se llame el packer o que version sea
esa es mi opinion.
Solid.
gracias por tu opinion creo que me ha tranquilizado un poco, mi problema es la cuestion tiempo, lo que pasa es que adquiri un soft un poco caro cambie en mi pc algunas cosas me cambio el fingeprint y no me actualizan si no les pago la licencia nuevamente y eso es un robo amigo y yo vivo de ese programa que por cierto me esta acumulando trabajo.
Gracias
pd hay manera de grabar el fingerprint en el programa para no volver a tener ese problema
Yo tengo un problema similar, el reporte del armFp me dice que es armadillo 7, beta 3, el problema es que estoy siguiendo las intrucciones de narvaja y el olly se queda congelado, utilize el deFixed me muestra lo que se ve en la imagen.
El shadows no me deja introducir "he strcpy" al colocarlo no establece ningun bp
No se si estoy haciendo algo mal.
¿existe algun manualo tuto para la versión 7?
Gracias
<------- 16-04-2010 23:34:25 ------->
C:\AutoSoft Taller Estándar 3.00\autosoft30.exe
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Memory-Patching Protections
!- <Backup Key Options>
Variable Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Use Digital River Edition Keys
4ABFFC80 Version 7.00Beta3 28-09-2009!- Elapsed Time 00h 00m 01s 907ms
Lo subi a la siguiente dirección
http://rapidshare.com/files/376709094/autosoft30.exe.html
y la imagen del defixed en http://bayimg.com/kALcgaacP
(http://bayimg.com/kAlcGaaCp)
A las excepciones las pasas con Shift+F9, configuralo en las opciones y pone un rango que abarque a todas 00000000-FFFFFFFF
suerte
es el instaldor o el ejecutable solamente?
me pide foxpro...
slds
el instalador de la pagina es de 32 megas
y el del link es de 12 casi.. sera solo el exe
bajando de la pagina para verlo mas despues, porque ya es tarde
slds
Perdon es, solo el instalador, la web del programa es http://www.autosofttaller.com/Descargas/index.html
pero de todos modos voy a subir yo la versión que yo baje hace como un mes, por si acaso. cuando este subido colocó el link
Gracias.
Gracias tena
He intentado colocando las excepciones, como dijiste, y nada, las lemine y nada, les puse que las inorara y que no las ignorara y nada, siempre caigo en una intrucción que dice Prefix lock: y la que sigue dice ???.
la imagen esta en: http://bayimg.com/mAlFGaAcP
Estoy subiendo el intalador completo, sacado del installshield, a varios servidores a la vez, en lo que este listo coloco las direcciones.
El soft que estoy analizando tiene armadillo 7, esta hecho en VFP (visual foxpro), Lo subi completo sacado del instalador en massmirror para tener varios sitios para descargar, es de 32 mb
http://massmirror.com/f84eea603124417a99978602f584d6e0.html
en un post anterior coloque solo el ejecutable.
Lei en otro foro que el armadillo 7 coloca introcciones que Olly no reconoce y por eso se congela, seguire probando.
El primer cartel que te sale es por el bug de olly del Illegal Intruction.
El cuelgue es por el OutPutDebugString.
Usa algun plugin que oculte el Isdebug y arregle el OutPutDebugString.
slds