Ayuda con Ollydbg y MS-DOS

Iniciado por Braien, 4 Marzo 2018, 15:41 PM

0 Miembros y 1 Visitante están viendo este tema.

Braien

hola, tengo un programa que es MS-DOS y al entrar al programa me dice Consulte con el Programador, Gracias. y me da opcion de activar y luego me pregunta Clave? y si no pongo la correcta, se me cierra el programa no hay opcion de String para windism y al abrirlo con Ollydbg me sale unable to open or read executable A.exe, al abrir el programa y poner attach desde Ollydbg me sale que es C:\WINDOWS\system32\ntvdm.exe y se me pausa el programa y ya luego no puedo hacer nada, ya que Strings no tiene porque al darle buscar no encuentra nada y en la carpeta tambien hay un A.obj que puede que tenga algo pero soy algo principiante y bueno quisiera una ayuda para saber la clave, desde ya Gracias!

MCKSys Argentina

Hola!

Si ves el proceso ntvdm es porque es un binario de 16 bits. En este caso, la mejor opción es mirarlo en forma estática con IDA y ver si puedes determinar la rutina de registro. Por supuesto, no servirá de nada si está empacado.

Si quieres debuggear, vas a tener que usar algo como Turbo Degugger (ahhh, que tiempos!!) o alguno parecido.

Sludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Braien

#2
La verdad que esta medio complicado esto, porque la unica Referencia q tengo es:





y en IDA:
assume ss:seg000, ds:nothing



public start
start proc near

; FUNCTION CHUNK AT seg001:280E SIZE 0000016A BYTES
; FUNCTION CHUNK AT seg001:5D70 SIZE 00000039 BYTES

mov     di, seg seg000
mov     es, di
assume es:seg000
mov     ss, di
mov     sp, 0C90h
mov     word ptr ss:seg_10000+82h, ds
push    word ptr ds:2Ch
pop     word ptr ss:seg_10000+22Ch
mov     si, 80h ; 'Ç'
lodsb
mov     bl, al
mov     bh, 0
mov     [bx+si], bh
mov     di, ds:2Ch
dec     di
mov     es, di
assume es:nothing
mov     ax, es:3
mul     word ptr ss:seg_10000+237h
dec     ax
mov     word ptr ss:seg_10000+228h, ax
mov     es, word ptr ds:2Ch
xor     ax, ax
mov     cx, ax
not     cx
mov     di, ax
// de aqui pasa a esto:

loc_1367B:
repne scasb
cmp     es:[di], al
jnz     short loc_1367B


aqui una foto de como esta:



Si me podes Ayudar te lo agradezco muchisimo, porque si no me equivoco despues de descubrir la clave me va a pedir que registre mi computadora, para poder abrir el programa supongo, para no estar poniendo la clave cada que entro, No se como pasarte el codigo completo (si me dices como, te lo paso y vez como me puedes ayudar) quizas pasandote el archivo .idb, para que veas si esta comprimido o cifrado, desde ya te lo agradezco

PD: nunca subi una foto en un foro y no se si esta bien, te dejo los links apartes por las dudas.
Links de las fotos:
1 - https://i.imgur.com/aKe4pTf.png
2 - https://i.imgur.com/K1pUizP.png
3 - https://i.imgur.com/v1oqdUv.png

MOD: Imagen adaptada a lo permitido.

MCKSys Argentina

Hola!

Lo que has colocado no sirve de mucho. Es el EP del programa solamente.

Si no tienes idea del tema, vas a tener que empezar con el FAQ (link en mi firma). El problema es que estás viendo algo de 16 bits, lo cual es muy viejo.

Si quieres que otros puedan mirar el software, comprímelo (si es con password, mejor) y súbelo a algún server: mega, 4hared, etc; y coloca el link de descarga (y la pass, si has colocado una).

De esa forma, otros pueden mirar el soft y ayudarte.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Braien

Dale, muchas gracias, aqui les dejo el programa, el que pueda hacer algo, si me puede ayudar les agradeceria muchisimo

Link:
https://mega.nz/#!LcIy0IjI!xYaKm1AysxU_qlgigO2rWkULtRKSfE543d787VJFpwQ

Pass del rar: resto123

MCKSys Argentina



Sólo 2 pistas:

1) Filemon (o Procmon)
2) ebd.cav

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Braien

#6
Encontre el archivo y todo pero me dice que el archivo no existe, no entiendo T_T Que tengo q hacer con ese archivo? he visto tutoriales de Procmon pero nada que diga como solucionar el problema, sera porque es un emulador? estoy usando el VisualBox con windows XP



Te agradeceria si me dices que programa utilizaste para arreglar eso, y como lo hiciste u.u

MOD: Imagen adaptada a lo permitido.

MCKSys Argentina

Cita de: Braien en  5 Marzo 2018, 22:18 PM
Te agradeceria si me dices que programa utilizaste para arreglar eso, y como lo hiciste u.u

El programa que he usado es el que te he dicho que uses.

El cómo lo hice: bueno, si te digo cómo, te digo todo... jejeje   ;D

Ya tienes las pistas necesarias. Ahora debes analizar el tema un poco. Pensar...

El foro es para aprender, pero debes poner algo de tu parte.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


MeTaD

Una pena que tengo windows 64bits, me ha roto el corazon.

Braien

#9
Pude hacerlo, me faltaba el archivo como dije el ebd.cav en la carpeta C:\WINDOWS\ lo que hice fue copiarlo de la otra computadora y ahora me abre, la verdad que me gustaria saber que hiciste vos para conseguirlo, o ya lo tenias en tu pc? no entiendo, no se que es ese archivo .cav, ni que funcion cumple, supongo que guardara el registro del programa, Me encantaria que me dieras consejos y eso para futuras cosas, desde ya Gracias.!  ;D



PD: No se como ajustar el tamaño de la imagen, como lo hiciste con la otra :P

MOD: Imagen redimensionada a lo permitido.