Ayuda con ingeniería inversa

Iniciado por Teknofer, 31 Julio 2011, 17:57 PM

0 Miembros y 2 Visitantes están viendo este tema.

Teknofer

Hola amigos, como veran soy nuevo y gracias a Ricardo Narvaja
me registré en el foro para consultar y pedir su ayuda.

Les cuento que estoy tratando de efectuar ingeniería inversa a un programa ya viejito
del 2006 - 2007 el cual usando los programas mas nuevos del tuto no logro saber
si esta empaquetado o no.

Solo me aparece el compilador el cual es: MS Visual C++ v7.0

Tiene un uso de 15 dias el cual ya expiró y luego del cartel de expiracion me
permite poner nombre y unlock code.

Les comento que no puedo abrirlo con W32Dasm v8.93
simplemente no hace nada, ni dice nada (si ya se que no habla) ;D
No aparece ningún cartel de error ni nada.

El OllyDbg 1.10 se cierra al abrir el .exe no puedo hacer nada.

Usando plugins logré que funcione el OllyDbg 1.10 y lo abre.

Con el OllyDbg201c se abre pero se me resiste no logro efectuar ingeniería inversa.
No se si es por algún tipo de protección o es para usuarios avanzados con
dificultad alta y por eso no puedo lograr la meta.

Con todo lo que gasté al imprimir chiquicientas hojas y tinta en los tutoriales
ya lo podía haber comprado, pero el cometido es lograr efectuar la ingeniería
inversa, o sea aprender.

Lo único que logré es al momento de darle al boton despues de agregar nombre
y unlock code es que se detenga el Olly con un BP y tracear y tracear y tracear
pero no puedo dar en el blanco.

No quiero quedarme así me gustaría poder efectuar la ingeniería inversa, por eso pido su ayuda

No se si alguien se anima a ayudarme con este programa o sería mejor un tutorial
aunque sea a medias o una pequeña ayuda de algún BP etc.

Como a hecho el amigo .:UND3R:. en su primer [Tutorial] Crackeando PosWin v8.
Excelente tutorial ;-)


Les dejo el link del instalador por si se animan a ver porque no puedo lograr efectuar
la ingeniería inversa de este programita que no es nada nuevo.
Aquí



Salu2, nos leémos...
Teknofer

apuromafo CLS

#1
ayudemos a ver.. escaneo con un programa como pe-scan

-=[ ProtectionID v0.6.4.1 JULY]=-
(c) 2003-2011 CDKiLLER & TippeX
Build 07/22/11-02:48:07
Ready...

Scanning -> C:\archivos de programa\Liquid Mirror Software\Always Watching\Always Watching.exe
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 614400 (096000h) Byte(s)
[File Heuristics] -> Flag : 00000000000000000000000000000000 (0x00000000)
[!] Possible CD/DVD-Key or Serial Check -> registration code
[CompilerDetect] -> Visual C++ 7.1 (Visual Studio 2003)
[!] File appears to have no protection or is using an unknown protection
- Scan Took : 0.172 Second(s) [0000000ACh tick(s)]

Scanning -> C:\archivos de programa\Liquid Mirror Software\Always Watching\AlwaysWatchingLib.dll
File Type : 32-Bit Dll (Subsystem : Win GUI / 2), Size : 696320 (0AA000h) Byte(s)
[File Heuristics] -> Flag : 00000100000000001100001100100001 (0x0400C321)
[Debug Info]
Characteristics : 0x0 | TimeDateStamp : 0x44525036 | MajorVer : 0 / MinorVer : 0 -> (0.0)
Type : 2 -> CodeView | Size : 0x67 (103)
AddressOfRawData : 0x30C28 | PointerToRawData : 0x30C28
  • Warning codeview va and offset don't match
    CvSig : 0x53445352 | SigGuid 17172E38-3A23-43D9-8120538B477F36B2
    Age : 0x11 | Pdb : c:\Projects\AlwaysWatchingLib - Internal\Release-Unicode\AlwaysWatchingLib.pdb

    [!] Armadillo v4.00 - v4.42 detected !
    [CompilerDetect] -> Visual C/C++
    - Scan Took : 0.109 Second(s) [00000006Dh tick(s)]

    <- 31-07-2011 17:17:56 - [2.0] ->
    C:\archivos de programa\Liquid Mirror Software\Always Watching\AlwaysWatchingLib.dll
    Protected Armadillo
    <-Find Protect
    Protection system (Professional)
    <Protection Options>
    System File
    Import Table Elimination
    Strategic Code Splicing
    <Backup Key Options>
    Variable Backup Keys
    <Compression Options>
    Best/Slowest Compression
    <Other Options>
    Allow Only One Copy
    <-Find Version
    Version 4.40 01-11-2005
    <- Elapsed Time 00h 00m 00s 438ms ->



    si usas armaggedon, puedes desempacar la dll, luego renombrarla a otro nombre el original y ya estaria full, desaparece el boton de buy


    saludos y a seguir aprendiendo como desempacar armadillo!!

    saludos Apuromafo


    por el tema de generar una clave, no es muy posible, deberia parcharse, y al final se gana mas desempacando:

    Raw Certificate Data : 1D50F8F8ED92333233383733363136392C3639343933363436393930

    Certificate 1 :: Level 29d (1Dh)  -> V3 Signed Short Level 10 (ECDSA-113)
    -> Source Exponent : 92EDF8F8->sym key  17827355

    -> ECDSA Exponent 1 : 3238736169
    -> ECDSA Exponent 2 : 6949364699003427259030398410853021
    -> ECDSA Exponent 3 : 544438800848300908597865738018164Ø
    -> (Solving is not supported)

    osea seria similar a una clave asi:
    apuromafo
    HIW:0000-0000
    serial:000013-JZXWCW-QZ5Q7U-KDNY8V-ZZFZZZ-ZZZZZZ-ZWCJP9-51VJ00-800000-000000

Teknofer

Muchas gracias Apuromafo por tu ayuda.

Esto si es ayudar.

;-) ;-) ;-)

En los tutos se menciona que está muy bien programada esa protección.

Yo usé el RDG Packer Detector v0.6.7 y no detectó nada solo el compilador.
No probé con otro pensando que el RDG Packer podía detectar protecciones.

Me faltaban las herramientas adecuadas.
Es que mi antivirus me cancelaba la descarga, detectaba virus.

:o Armadillo v4.00 - v4.42 detected "uuuu tiembla Teknofer" :o

Con estos datos ya puedo empezar a trabajar y nuevamente
muchas gracias por tu ayuda Apuromafo



Salu2, nos leémos...
Teknofer

apuromafo CLS

el tema delicado es que como novato no podras con tanta proteccion, a menos que ya hayas juntado todas las tools como para armadillo

el tema aun mas denso, es que con el unpacker un paso y listo, reune la experiencia y luego lo haces manual, pero creeme, el tema de la iat no es facil , toma en cuenta el post anterior con mucho cuidado. ^^
saludos Apuromafo
pd:aun aprendo del tema de keygenning en armadillo, soy novato en aquella area y actualmente es un tabu o un tema no conversado en lugares publicos.

Teknofer

Hola amigo Apuromafo ya probé en desempacar la dll con
ArmaG3ddon y el programa al cual quiero vencer queda sin
cumplir con la funcion para el cual fue programado.

Te deja crear las reglas y luego simplemente no hace nada.

Tambien probé en usar script para armadillo desde Olly sin
buenos resultados.

Desde el dia de tu ayuda sigo sin poder lograr que no pasen los
15 dias de prueba que en su momento con un par de saltos logré
dejarlo en cero, pero con las mismas consecuencias, que luego
simplemente no hace nada el programa.

Por eso es que recurro a el amigo .:UND3R:. por sus excelentes
tutoriales y de esa manera aprender un poco mas.

Me parece un interesante desafio para crear un tuto para
los mas nuevos como yo.


Este programita me venció, no se que mas hacer.

PD: Quizás a ti como no tenías los 15 dias vencidos el
       programa te funcionaba bien, pero a mi como ya se
       me venció el tiempo simplemente no hace nada el
       programa no cumple con la funcion para el cual fue
       programado.

Apuromafo...
Lo probastes luego de desempacar la dll si funciona como debe?
Me puedes pasar tu dll desempacada?

Dejo el link del instalador por si .:UND3R:. se anima.

Link



Salu2, nos leémos...
Teknofer

apuromafo CLS

pues por lo mismo decia que debia parcharse, puede haber funciones perdidas y si logras que acepte ese hiw, y el serial seria lo ideal, pues fue formado con el symetric key correcto

si es de sugerencia, pues la unica forma deberia ser un inline para que lo acepte, verificar secured section y comparar con un serial valido, pero tampoco me han compartido la tecnica, y aun no la descubro los hash del serial que usan para las secured section en ese nivel


el detalle de desempacar la dll no es tanto el desempacar, sino el tema es que crea antes o si realmente es el oep o bien si se usa bien ese espacio

tambien hay un detalle, el unpacked de armaggedon creo que esta bien, lo que debes explorar son las variables de environment variables , ese es un inline que debe hacerse, debes agregar una sección con topo y redireccionar desde una parte que ya no use y luego saltar al oep


si quieres usar por mas tiempo existe una tool llamada trial reset
pero en armadillo el que dices, no es keygeneable solo parchando por profesionales

y si es inlineable desde el unpacked,   si te crackeao la aplicacion no aprenderias nada, habiendo centenas de tutoriales, yo pase 4 años leyendo de armadillo en diversos idiomas y recien el año pasado logre compartir palabras con algunos autores de keygens y tools de armadillo logre hasta verificar bugs y cosas por el estilo

no es mucho, pero no es poco

GetEnvironmentVariableA  y W , debes checkear, normalmente los parches pueden ser nop, o jmp

por ejemplo aqui uno muuuuuy antiguo:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1401-1500/1402-Desempacando%20Armadillo%20Simple%20v2.52%20by%20Ivinson.pdf


asi se puede parchar un armadillo en el unpacked

y aca coloca la palabra "Arma" o armadillo
http://ricardonarvaja.info/WEB/buscador.php

cuando termines de leeer y sin nace otra duda, aqui estamos