hola, tengo un programa que es MS-DOS y al entrar al programa me dice Consulte con el Programador, Gracias. y me da opcion de activar y luego me pregunta Clave? y si no pongo la correcta, se me cierra el programa no hay opcion de String para windism y al abrirlo con Ollydbg me sale unable to open or read executable A.exe, al abrir el programa y poner attach desde Ollydbg me sale que es C:\WINDOWS\system32\ntvdm.exe y se me pausa el programa y ya luego no puedo hacer nada, ya que Strings no tiene porque al darle buscar no encuentra nada y en la carpeta tambien hay un A.obj que puede que tenga algo pero soy algo principiante y bueno quisiera una ayuda para saber la clave, desde ya Gracias!
Hola!
Si ves el proceso ntvdm es porque es un binario de 16 bits. En este caso, la mejor opción es mirarlo en forma estática con IDA y ver si puedes determinar la rutina de registro. Por supuesto, no servirá de nada si está empacado.
Si quieres debuggear, vas a tener que usar algo como Turbo Degugger (ahhh, que tiempos!!) o alguno parecido.
Sludos!
La verdad que esta medio complicado esto, porque la unica Referencia q tengo es:
(https://i.imgur.com/aKe4pTf.png)
(https://i.imgur.com/K1pUizP.png)
y en IDA:
assume ss:seg000, ds:nothing
public start
start proc near
; FUNCTION CHUNK AT seg001:280E SIZE 0000016A BYTES
; FUNCTION CHUNK AT seg001:5D70 SIZE 00000039 BYTES
mov di, seg seg000
mov es, di
assume es:seg000
mov ss, di
mov sp, 0C90h
mov word ptr ss:seg_10000+82h, ds
push word ptr ds:2Ch
pop word ptr ss:seg_10000+22Ch
mov si, 80h ; 'Ç'
lodsb
mov bl, al
mov bh, 0
mov [bx+si], bh
mov di, ds:2Ch
dec di
mov es, di
assume es:nothing
mov ax, es:3
mul word ptr ss:seg_10000+237h
dec ax
mov word ptr ss:seg_10000+228h, ax
mov es, word ptr ds:2Ch
xor ax, ax
mov cx, ax
not cx
mov di, ax
// de aqui pasa a esto:
loc_1367B:
repne scasb
cmp es:[di], al
jnz short loc_1367B
aqui una foto de como esta:
(https://i.imgur.com/v1oqdUv.png)
Si me podes Ayudar te lo agradezco muchisimo, porque si no me equivoco despues de descubrir la clave me va a pedir que registre mi computadora, para poder abrir el programa supongo, para no estar poniendo la clave cada que entro, No se como pasarte el codigo completo (si me dices como, te lo paso y vez como me puedes ayudar) quizas pasandote el archivo .idb, para que veas si esta comprimido o cifrado, desde ya te lo agradezco
PD: nunca subi una foto en un foro y no se si esta bien, te dejo los links apartes por las dudas.
Links de las fotos:
1 - https://i.imgur.com/aKe4pTf.png
2 - https://i.imgur.com/K1pUizP.png
3 - https://i.imgur.com/v1oqdUv.png
MOD: Imagen adaptada a lo permitido.
Hola!
Lo que has colocado no sirve de mucho. Es el EP del programa solamente.
Si no tienes idea del tema, vas a tener que empezar con el FAQ (link en mi firma). El problema es que estás viendo algo de 16 bits, lo cual es muy viejo.
Si quieres que otros puedan mirar el software, comprímelo (si es con password, mejor) y súbelo a algún server: mega, 4hared, etc; y coloca el link de descarga (y la pass, si has colocado una).
De esa forma, otros pueden mirar el soft y ayudarte.
Saludos!
Dale, muchas gracias, aqui les dejo el programa, el que pueda hacer algo, si me puede ayudar les agradeceria muchisimo
Link:
https://mega.nz/#!LcIy0IjI!xYaKm1AysxU_qlgigO2rWkULtRKSfE543d787VJFpwQ (https://mega.nz/#!LcIy0IjI!xYaKm1AysxU_qlgigO2rWkULtRKSfE543d787VJFpwQ)
Pass del rar: resto123
(https://i.imgur.com/RIe2V2T.jpg)
Sólo 2 pistas:
1) Filemon (o Procmon)
2) ebd.cav
Saludos!
Encontre el archivo y todo pero me dice que el archivo no existe, no entiendo T_T Que tengo q hacer con ese archivo? he visto tutoriales de Procmon pero nada que diga como solucionar el problema, sera porque es un emulador? estoy usando el VisualBox con windows XP
(https://i.imgur.com/XH0so6Z.png)
Te agradeceria si me dices que programa utilizaste para arreglar eso, y como lo hiciste u.u
MOD: Imagen adaptada a lo permitido.
Cita de: Braien en 5 Marzo 2018, 22:18 PM
Te agradeceria si me dices que programa utilizaste para arreglar eso, y como lo hiciste u.u
El programa que he usado es el que te he dicho que uses.
El cómo lo hice: bueno, si te digo cómo, te digo todo... jejeje ;D
Ya tienes las pistas necesarias. Ahora debes analizar el tema un poco. Pensar...
El foro es para aprender, pero debes poner algo de tu parte.
Saludos!
Una pena que tengo windows 64bits, me ha roto el corazon.
Pude hacerlo, me faltaba el archivo como dije el ebd.cav en la carpeta C:\WINDOWS\ lo que hice fue copiarlo de la otra computadora y ahora me abre, la verdad que me gustaria saber que hiciste vos para conseguirlo, o ya lo tenias en tu pc? no entiendo, no se que es ese archivo .cav, ni que funcion cumple, supongo que guardara el registro del programa, Me encantaria que me dieras consejos y eso para futuras cosas, desde ya Gracias.! ;D
(https://i.imgur.com/dg9IPld.png)
PD: No se como ajustar el tamaño de la imagen, como lo hiciste con la otra :P
MOD: Imagen redimensionada a lo permitido.
Cita de: Braien en 6 Marzo 2018, 06:51 AM
Pude hacerlo, me faltaba el archivo como dije el ebd.cav en la carpeta C:\WINDOWS\ lo que hice fue copiarlo de la otra computadora y ahora me abre, la verdad que me gustaria saber que hiciste vos para conseguirlo, o ya lo tenias en tu pc? no entiendo, no se que es ese archivo .cav, ni que funcion cumple, supongo que guardara el registro del programa, Me encantaria que me dieras consejos y eso para futuras cosas, desde ya Gracias.! ;D
Hola!
Yo sólo me dí cuenta de que faltaba el archivo, así que hice uno con la letra "a"; y el soft arrancó sin más... :P
Tampoco tengo idea de la función, pero es muy probable que esté sujeto a la "protección anticopia".
Analizar el ejecutable es complejo ya que estos ejecutables usan overlays (https://en.wikipedia.org/wiki/Overlay_(programming)) y los mismos están en archivos separados o bien, anexados al final del ejecutable. Ese código se podría analizar, pero hay que saber cómo cargarlo en IDA y, la verdad, no tengo tiempo de mirar una app de 16 bits...
Saludos!
Jaja Bueno, lo importante es que pude hacerlo, muchas gracias por las pistas, aunque me pase el día buscando en internet como podía hacerlo, al final solo se me ocurrió pasarlo a ver que pasaba ya que no tenía idea de cómo se creaba jaja De verdad muchas gracias, y creo que se dice tema cerrado?