ayuda con este antivirus usb

Iniciado por Masterx2010, 23 Noviembre 2012, 16:37 PM

0 Miembros y 1 Visitante están viendo este tema.

Masterx2010

saludos amigos... la verdad les pido ayuda pues no se en que esta copilado este antivirus... quiero crakearlo yo mismo pero mi problema es que lo unpackee y una vez unpackeado me dice que esta en visual fox pro... esto con el rdg... pero parckeado me dice que esta en visual basic 9...  :huh: y quiero saber si es posible crakearlo para continuar... aqui les dejo el link http://www.usb-av.com/files/usbavpro-setup-english.exe para ver si alguien me ayuda e tratado de decopilar con estas herramientas...VBReFormer, PE Explorer, Reflextor.v7.3.0.18 + reflexil + deblector, Refox MMII, VBDecopiler.... solo quiero saber si se puede crakear pues ta facil ya que el mismo trabaja con serial y usuario... saludos esperando respuesta

apuromafo CLS

#1
las peticiones de crack estan prohibidas

por otro lado, como era el entrypoint?
cuando llegaste al oep, que es lo que ves?

copia algunas screenshoot de tu trabajo

saludos Apuromafo

pd:ahi tienes 3 tipos de herramientas que son totalmente hacia tiros distintos:

.net:Reflextor.v7.3.0.18 + reflexil + deblector,
visual basic:VBReFormer,VBdecompiler
fox: Refox MMII


tiene estilo como UPX, luego de desempacar UPX (pushad popad jmp oep)

estamos aqui

CPU Disasm
Address   Hex dump          Command                                  Comments
0064493B    E8 1EFE0000     CALL 0065475E
00644940  ^ E9 78FEFFFF     JMP 006447BD

pero muchos lua, y ademas se ve algo curioso  ves ese CDD ??

eso significa que fue hecho con algun programa como multimedia media player como un archivo semi portable


Dump - usb-av:00401000..00A72FFF
Address   Hex dump                                         ASCII
00858450  5C 41 75 74|6F 50 6C 61|79 5C 00 00|2E 63 64 64| \AutoPlay\  .cdd
00858460  00 00 00 00|45 72 72 6F|72 3A 20 43|6F 75 6C 64|     Error: Could
00858470  20 6E 6F 74|20 66 69 6E|64 20 64 61|74 61 20 66|  not find data f
00858480  69 6C 65 2E|00 00 00 00|7B 34 45 42|30 33 42 34| ile.    {4EB03B4
00858490  39 2D 43 32|32 31 2D 35|43 32 42 2D|35 34 37 33| 9-C221-5C2B-5473
008584A0  2D 33 38 30|38 30 46 38|30 31 39 30|44 7D 00 00| -38080F80190D}
008584B0  45 52 52 4F|52 3A 20 46|61 69 6C 65|64 20 74 6F| ERROR: Failed to
008584C0  20 69 6E 69|74 69 61 6C|69 7A 65 20|75 6E 7A 69|  initialize unzi
008584D0  70 20 6C 69|62 72 61 72|79 2E 00 00|45 52 52 4F| p library.  ERRO
008584E0  52 3A 20 46|61 69 6C 65|64 20 74 6F|20 69 6E 69| R: Failed to ini
008584F0  74 69 61 6C|69 7A 65 20|7A 69 70 20|6C 69 62 72| tialize zip libr
00858500  61 72 79 2E|00 00 00 00|46 61 69 6C|65 64 20 74| ary.    Failed t
00858510  6F 20 69 6E|69 74 69 61|6C 69 7A 65|20 73 6F 75| o initialize sou
00858520  6E 64 20 73|79 73 74 65|6D 3A 20 25|73 00 00 00| nd system: %s
00858530  78 79 68 74|32 35 6E 48|67 34 66 35|32 73 4C 6F| xyht25nHg4f52sLo
00858540  30 6D 77 34|4A 69 38 34|6B 69 33 71|69 00 00 00| 0mw4Ji84ki3qi
00858550  5F 70 72 6F|6A 2E 64 61|74 00 00 00|00 00 00 00| _proj.dat
00858560  4C 75 61 20|2D 20 54 68|65 20 50 72|6F 67 72 61| Lua - The Progra
00858570  6D 6D 69 6E|67 20 4C 61|6E 67 75 61|67 65 0D 41| mming Language
A
00858580  72 67 75 6D|65 6E 74 20|25 64 20 6D|75 73 74 20| rgument %d must
00858590  62 65 20 6F|66 20 74 79|70 65 20 25|73 2E 45 43| be of type %s.EC
008585A0  00 F0 0F 00|C0 0C 00 D0|0D 00 00 00|46 61 69 6C|  ð À Ð
   Fail
008585B0  65 64 20 74|6F 20 65 78|74 72 61 63|74 20 70 72| ed to extract pr
008585C0  6F 6A 65 63|74 20 66 69|6C 65 20 74|6F 20 6D 65| oject file to me
008585D0  6D 6F 72 79|2E 00 00 00|46 61 69 6C|             mory.   Fail



Masterx2010

#2
hola apuromafo amigo bueno no e hecho solicitud de crack quiero hacerlo yo mismo solo pedi ayuda pues con las herramientas que tengo no logro decopilarlo y pues esta es la OEP
0064493B > $  E8 1EFE0000   CALL 0065475E <=== OEP
00644940   .^ E9 78FEFFFF   JMP 006447BD
00644945      CC            INT3
00644946      CC            INT3
00644947      CC            INT3
00644948      CC            INT3
00644949      CC            INT3
0064494A      CC            INT3
0064494B      CC            INT3
0064494C      CC            INT3
0064494D      CC            INT3
0064494E      CC            INT3
0064494F      CC            INT3
00644950   $  8B5424 0C     MOV EDX,DWORD PTR SS:[ESP+C]
00644954   .  8B4C24 04     MOV ECX,DWORD PTR SS:[ESP+4]
00644958   .  85D2          TEST EDX,EDX
asi es que queda una vez que se descomprime... de antemano agradezco la ayuda que puedan prestar saludos... p ues con las herramientas que tengo no lo logro descomprimir y no entiendo el porque... :huh:

apuromafo CLS

#3
pues por eso es un portable , no es un exe para desempacar normal, a lo mas se podria colocar el inline o otras cosas

pero desempacar como tal no creo

estos portable son aveces alguna vez denso..habria que checkear como confirmar de donde saca la pass /createFileA y depurar todo lo que sigue luego de que abra el archivo cdd

por ende hay que leer textual lo que dice el cdd

a modo de tener todo el codigo y saber si sirve o no

EAX 01B1EFC8 ASCII "W",
"7KG12-0D98D-SGBI6-8FYCP-981IC-UXYVK",
"40YQZ-55295-337G5-F7730-GPK0G-R33G9",
"KHBUK-Y364I-OBIH3-DH9F1-U5ACN-VT536",
"4L73C-47K06-8HTH0-77V98-7PLR2-6OIS0",
"7S9P7-NH9H6-Y42LX-8I766-61E27-GH0IC",
"7F4X6-978WS-6PT9R-Q9WLD
ECX 00006D47
EDX 00000000
EBX 00022DAE
ESP 0012F698
EBP 0012F6A0
ESI 01B03AAC ASCII "ScanG == "" then vScanG = "true"; end
vScanI = Registry.GetValue(HKEY_CURRENT_USER, vRegKeyRootData, "ScanI", false);
if vScanI == "" then vScanI = "true"; end

-- REPORTESCPU Dump
Address   Hex dump                                         ASCII
01BBD41C                                   20|22 38 35 30|             "850
01BBD42C  39 31 37 32|30 30 30 38|30 31 33 31|32 35 36 38| 9172000801312568
01BBD43C  36 35 33 34|32 39 30 31|35 32 32 38|30 32 37 30| 6534290152280270
01BBD44C  22 3B 0D 0A|50 41 53 53|5F 45 4E 43|52 49 50 54| ";
PASS_ENCRIPT
01BBD45C  45 44 5F 55|50 44 20 09|09 3D 20 22|38 35 30 4A| ED_UPD = "850J
01BBD46C  39 45 37 32|30 3D 30 51|30 58 30 31|33 31 32 3D| 9E720=0Q0X01312=
01BBD47C  33 22 3B 20|0D 0A 50 41|53 53 5F 45|4E 43 52 49| 3";
PASS_ENCRI
01BBD48C  50 54 45 44|5F 53 55 50|45 52 20 09|3D 20 22 25| PTED_SUPER = "%
01BBD49C  3F 2D 33 AA|32 B7 24 36|B7 24 2A 5E|25 40 21 23| ?-3ª2·$6·$*^%@!#
01BBD4AC  50 76 3E 2B|22 3B 0D 0A|50 41 53 53|5F 45 4E 43| Pv>+";
PASS_ENC
01BBD4BC  52 49 50 54|45 44 5F 46|49 4C 45 09|09 3D 20 22| RIPTED_FILE = "
01BBD4CC  40 2A 32 26|23 29 5F 26|39 24 21 5F|37 61 3D 2D| @*2&#)_&9$!_7a=-
01BBD4DC  5E 25 23 40|7D 50 7B 6E|24 33 74 22|3B 20 0D 0A| ^%#@}P{n$3t";

01BBD4EC  74 6D 70 5F|61 63 74 20|09 09 20 09|09 3D 20 5F| tmp_act = _
01BBD4FC  54 65 6D 70|46 6F 6C 64|65 72 2E 2E|22 5C 5C 74| TempFolder.."\\t
01BBD50C  65 6D 70 5F|6A 73 6B 73|6C 22 3B 0D|             emp_jsksl";



Masterx2010

gracias eso era lo que queria saber... pues por ahora es mucho para mi... y si tienes razon el trabaja mucho con ese archivo cdd... bueno desisto de este antivirus usare otros.. aun que comparando los otros con este este se los lleva es super mejor ya que adiario se actualiza... gracias apuromafo por tu ayuda... con razon no podia decopilar... y use muchas herramientas.. incluso pa los NET y los FOX... feliz fin de semana amigo... :D

apuromafo CLS

ok, luego que lo desinstales y coloques cosas mejores como algun eset antivirus

pues abre con permiso de admin esto;
http://www.mediafire.com/download.php?nzymzj1t5ky

esto deberia desactivar o bien hihackthis , el bloqueo que tiene por defecto en el atl+control+suprimir que hace hacia la barra de taras  (taskexplorer)

saludos cordiales Apuromafo