Ayuda comenzando a crackear

Iniciado por manudark88, 31 Agosto 2012, 13:33 PM

0 Miembros y 1 Visitante están viendo este tema.

manudark88

buenas, estoy empezando a crackear un programa y tengo un par de preguntas.
el programa es de 30 días de prueba, pero tiene todas sus funciones, con el W32dasm
he encontrado las call de las ventanas del mensaje que avisa que se ha acabado el tiempo, "trial has expired" pero esta en un archivo .dll y me he quedado atascado, estoy con manuales leyendo pero creo que voy a necesitar ayuda.

pongo una captura de pantalla del W32dasm.



lo que me pasa es que abro el archivo .dll con el ultra edit para buscar la cadena del offset pero no consigo encontrarlas.
y es en este punto en el que me pierdo.

PD: el programa es el zFactura 2012 v.1
ya se que puede ser difícil para empezar pero es lo que me esta motivando para aprender.

gracias por la ayuda.


manudark88

la imagen no se ve correctamente, pongo el enlace para que podáis verla.
sorry.

http://s3.subirimagenes.com:81/privadas/1919514sin-ttulo.jpg

avesudra

Cita de: manudark88 en 31 Agosto 2012, 13:39 PM
la imagen no se ve correctamente, pongo el enlace para que podáis verla.
sorry.

http://s3.subirimagenes.com:81/privadas/1919514sin-ttulo.jpg
Sigue sin verse , pone error 403 : Forbidden
Regístrate en


avesudra

#4
Cita de: manudark88 en 31 Agosto 2012, 14:07 PM
y ahora se ve ya?
Perfectamente  ;-) . En cuanto a lo de el programa y eso creo que sería mejor que lo hicieses con OllyDbg que es una herramienta muy buena para empezar y el tuto de OllyDbg desde 0 de Ricardo Narvaja ---> http://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/ Solo te puedo aconsejar eso , a ver si lo abro y lo miro porque yo tampoco tengo mucha idea :)
Regístrate en

karmany

Yo también te recomiendo que hagas con OllyDBG lo mismo que has hecho con W32dasm.
W32dasm -pienso- que es muy poco utilizado y en su lugar se usan otras herramientas de desensamblaje y depuración como lo es OllyDBG -como te ha recomendado avesudra-.

manudark88

el problema es que el ollydbg no me deja abrir la .dll
estoy buscando mas información sobre como modificarlas.

sobre el curso de ricardonarvaja, es el que estoy siguiendo, esta muy bien.

muchas gracias por la ayuda recibida. :)

apuromafo CLS

#7
testeando: encontre la aplicacion en la web
es un

Scanning -> C:\Archivos de Casa\ZFactura\ZFactura.exe
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 13380096 (0CC2A00h) Byte(s)
[File Heuristics] -> Flag : 00000000000001001100000000100010 (0x0004C022)
[!] Themida v2.0.1.0 - v2.1.6.0 (or newer) detected !
Hide PE Scanner Option used
- Scan Took : 1.687 Second(s) [000000521h tick(s)]

unpacked esperando corra en otro s.o.
http://www.mediafire.com/?nr48l1j79ll4tkb




mas info:






packed themida unpacked sin parche en dll=full trial que no expira
en unos 20minutos subo el unpacked
normal start de themida con su fld

02264000   B8 00000000      MOV EAX,0
02264005   60               PUSHAD
02264006   0BC0             OR EAX,EAX
02264008   74 68            JE SHORT ZFactura.02264072
0226400A   E8 00000000      CALL ZFactura.0226400F
0226400F   58               POP EAX
02264010   05 53000000      ADD EAX,53
02264015   8038 E9          CMP BYTE PTR DS:[EAX],0E9
02264018   75 13            JNZ SHORT ZFactura.0226402D

luego de tracear un poco el el oep es


00403C54   . EB 10          JMP SHORT ZFactura.00403C66
00403C56   . 66:623A        BOUND DI,DWORD PTR DS:[EDX]
00403C59   . 43             INC EBX
00403C5A   . 2B2B           SUB EBP,DWORD PTR DS:[EBX]
00403C5C   . 48             DEC EAX
00403C5D   . 4F             DEC EDI
00403C5E   . 4F             DEC EDI
00403C5F   . 4B             DEC EBX
00403C60   . 90             NOP
00403C61   .-E9 AC207201    JMP ZFactura.01B25D12
00403C66   > A1 9F207201    MOV EAX,DWORD PTR DS:[172209F]
00403C6B   . C1E0 02        SHL EAX,2
00403C6E   . A3 A3207201    MOV DWORD PTR DS:[17220A3],EAX
00403C73   . 52             PUSH EDX


lo dificil en parte es la iat, termine de editar un poco el script de LCF con el oep personal,  por otro lado, hay 2 ollydbg , la version 1 y la version 2

la dll si la corre en ollydbg debes colocar si, luego guiarte..nada de ejecutar porque solo seria perdida de tiempo
estas son las string


CitarAddress    Disassembly                               Text string
10037B11   PUSH ChilkatC.101025AC                    ASCII "Expired: "
10037B35   PUSH ChilkatC.100CE0D8                    ASCII "
"
10037C24   PUSH ChilkatC.101025AC                    ASCII "Expired: "
10037C48   PUSH ChilkatC.100CE0D8                    ASCII "

1005D447   PUSH ChilkatC.10109C0C                    ASCII "password"
1005D475   PUSH ChilkatC.10109F9C                    ASCII "Username"
1005D485   PUSH ChilkatC.1010A18C                    ASCII "IUSR_"
1005D49D   PUSH ChilkatC.1010A184                    ASCII "IWAM_"
1005D4D2   PUSH ChilkatC.1010A16C                    ASCII "Trying user's keyset..."
1005D4F5   PUSH ChilkatC.1010A130                    ASCII "1st try did not succeed, will retry with machine keyset."
1005D52A   PUSH ChilkatC.10109BF8                    ASCII "Invalid password"
1005D54F   PUSH ChilkatC.1010A0F8                    ASCII "Looks like this is in an ASP or ASP.NET environment..."
1005D55D   PUSH ChilkatC.1010A0E4                    ASCII "Password verified."
1005D56B   PUSH ChilkatC.10109BE4                    ASCII "Password is empty"

10079F84   PUSH ChilkatC.10110A0C                    ASCII "1x0zlsd"
1007A121   MOV EDI,ChilkatC.10110A48                 ASCII "__^!@"
1007A4EB   PUSH ChilkatC.10110A74                    ASCII "%d/%d/%d"
1007A503   PUSH ChilkatC.10110A68                    ASCII "expireMdy"
1007A514   PUSH ChilkatC.10110A60                    ASCII "keyT"
1007A521   PUSH ChilkatC.10110A58                    ASCII "curT"
1007A56A   PUSH ChilkatC.10110A50                    ASCII "curDT"
1007A5FE   PUSH ChilkatC.10110DA8                    ASCII "RegKey"
1007A60A   PUSH ChilkatC.10110D9C                    ASCII "Nov 30 2009"
1007A60F   PUSH ChilkatC.10110D94                    ASCII "LibDate"
1007A656   PUSH ChilkatC.10110D90                    ASCII "92"
1007A65B   PUSH ChilkatC.10110D8C                    ASCII "CK"
1007A6DD   PUSH ChilkatC.10110D84                    ASCII "asdf"
1007A6F3   PUSH ChilkatC.10110D74                    ASCII "Invalid code..."
1007A7AA   PUSH ChilkatC.10110D68                    ASCII "No reg code"
1007A8EC   PUSH ChilkatC.10110D5C                    ASCII "Error 200"
1007AA64   PUSH ChilkatC.10110D44                    ASCII "Unlock code is invalid."
1007AAB5   PUSH ChilkatC.10110D28                    ASCII "This code has been revoked."
1007AACB   PUSH ChilkatC.10110D20                    ASCII "$TEAM"
1007AAE1   PUSH ChilkatC.10110D18                    ASCII "$BEAN"
1007AAF7   PUSH ChilkatC.10110D10                    ASCII "!TEAM"
1007AB0D   PUSH ChilkatC.10110D08                    ASCII "!BEAN"
1007AB25   PUSH ChilkatC.10110D00                    ASCII "SITETA"
1007AB3D   PUSH ChilkatC.10110CF8                    ASCII "NICOLE"
1007AB55   PUSH ChilkatC.10110CF0                    ASCII "RUTHFR"
1007AB6C   PUSH ChilkatC.10110CE4                    ASCII "MEISTEMHT"
1007AB84   PUSH ChilkatC.10110CDC                    ASCII "YESSDA"
1007AB9C   PUSH ChilkatC.10110CD4                    ASCII "JOHNEK"
1007ABB4   PUSH ChilkatC.10110CCC                    ASCII "kfywhl"
1007ABD1   PUSH ChilkatC.10110CAC                    ASCII "VW5sb2NrIGtleSBpcyBpbnZhbGlk"
1007AC00   PUSH ChilkatC.10110C88                    ASCII "Q2hpbGthdCBTb2Z0d2FyZSwgSW5jLg=="
1007AC22   PUSH ChilkatC.10110C7C                    ASCII "U0hPQ0s="
1007AD4B   PUSH ChilkatC.10110C58                    ASCII "Unlock code is invalid. (reason=11)"
1007AD64   PUSH ChilkatC.10110C4C                    ASCII "required"
1007AD7D   PUSH ChilkatC.10110C44                    ASCII "regCode"
1007ADF4   PUSH ChilkatC.10110C38                    ASCII "Error 201"
1007AE25   PUSH ChilkatC.10110C28                    ASCII "requiresPerm"
1007AE59   PUSH ChilkatC.10110C18                    ASCII "%02d%02d%04d"
1007AE6E   PUSH ChilkatC.10110BFC                    ASCII "re-parsing expire date..."
1007AE87   PUSH ChilkatC.10110BEC                    ASCII "%02d%02d%02d"
1007AECA   PUSH ChilkatC.10110A74                    ASCII "%d/%d/%d"
1007AEE2   PUSH ChilkatC.10110BDC                    ASCII "TempExpireDate"
1007AF54   PUSH ChilkatC.10110BBC                    ASCII "Temporary unlock code expired."
1007AF88   PUSH ChilkatC.10110B7C                    ASCII "Component successfully unlocked using temporary unlock code."
1007B077   PUSH ChilkatC.10110BBC                    ASCII "Temporary unlock code expired."
1007B086   PUSH ChilkatC.10110B7C                    ASCII "Component successfully unlocked using temporary unlock code."
1007B161   PUSH ChilkatC.10110B60                    ASCII "Year out of range, failed."
1007B181   PUSH ChilkatC.10110BBC                    ASCII "Temporary unlock code expired."
1007B1DC   PUSH ChilkatC.10110B20                    ASCII "Component successfully unlocked using permanent unlock code."
1007B2C9   PUSH ChilkatC.10110AFC                    ASCII "Invalid characters in unlock code."
1007B321   PUSH ChilkatC.1010B118                    ASCII "unlockCode"
1007B32D   PUSH ChilkatC.10110AE4                    ASCII "Requires permanent code"
1007B3B7   PUSH ChilkatC.10110AE0                    ASCII "ok."
1007B3CB   PUSH ChilkatC.10110AB0                    ASCII "Component successfully unlocked using trial key"
1007B4BA   PUSH ChilkatC.10110A9C                    ASCII "Trial has expired. "
1007B526   PUSH ChilkatC.10110A80                    ASCII "This code has been revoked"
1007B52F   PUSH ChilkatC.10110D44                    ASCII "Unlock code is invalid."

saludos Apuromafo
pd:subiendo a mediafire.com/apuromafo ing inversa, foro el hacker manudark88->themida->ahi estará el archivo

manudark88

gracias apuromafo, me ha abierto el programa a la primera, aunque sale aun la ventana de periodo de prueba, intentare quitarla, pero con el código que me has pasado me has ayudado mucho.
estoy mirando lo de las dll en el ollydbg y no encuentro como hacer para abrir las dll, seguiré buscando información.
de nuevo, muchas gracias por tu ayuda.

Cita de: apuromafo en 31 Agosto 2012, 15:40 PM
testeando: encontre la aplicacion en la web
es un

Scanning -> C:\Archivos de Casa\ZFactura\ZFactura.exe
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 13380096 (0CC2A00h) Byte(s)
[File Heuristics] -> Flag : 00000000000001001100000000100010 (0x0004C022)
[!] Themida v2.0.1.0 - v2.1.6.0 (or newer) detected !
Hide PE Scanner Option used
- Scan Took : 1.687 Second(s) [000000521h tick(s)]

unpacked esperando corra en otro s.o.
http://www.mediafire.com/?nr48l1j79ll4tkb




mas info:






packed themida unpacked sin parche en dll=full trial que no expira
en unos 20minutos subo el unpacked
normal start de themida con su fld

02264000   B8 00000000      MOV EAX,0
02264005   60               PUSHAD
02264006   0BC0             OR EAX,EAX
02264008   74 68            JE SHORT ZFactura.02264072
0226400A   E8 00000000      CALL ZFactura.0226400F
0226400F   58               POP EAX
02264010   05 53000000      ADD EAX,53
02264015   8038 E9          CMP BYTE PTR DS:[EAX],0E9
02264018   75 13            JNZ SHORT ZFactura.0226402D

luego de tracear un poco el el oep es


00403C54   . EB 10          JMP SHORT ZFactura.00403C66
00403C56   . 66:623A        BOUND DI,DWORD PTR DS:[EDX]
00403C59   . 43             INC EBX
00403C5A   . 2B2B           SUB EBP,DWORD PTR DS:[EBX]
00403C5C   . 48             DEC EAX
00403C5D   . 4F             DEC EDI
00403C5E   . 4F             DEC EDI
00403C5F   . 4B             DEC EBX
00403C60   . 90             NOP
00403C61   .-E9 AC207201    JMP ZFactura.01B25D12
00403C66   > A1 9F207201    MOV EAX,DWORD PTR DS:[172209F]
00403C6B   . C1E0 02        SHL EAX,2
00403C6E   . A3 A3207201    MOV DWORD PTR DS:[17220A3],EAX
00403C73   . 52             PUSH EDX


lo dificil en parte es la iat, termine de editar un poco el script de LCF con el oep personal,  por otro lado, hay 2 ollydbg , la version 1 y la version 2

la dll si la corre en ollydbg debes colocar si, luego guiarte..nada de ejecutar porque solo seria perdida de tiempo
estas son las string


saludos Apuromafo
pd:subiendo a mediafire.com/apuromafo ing inversa, foro el hacker manudark88->themida->ahi estará el archivo

Иōҳ

Brodher ya se hizo lo más difícil, sacarle el themida de encima, ahora lo más fácil es crackearlo ánimo, que si lees el faq tienes mucho info por dónde empezar...

Saludos,
Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net