ayuda con soft en delphi

Iniciado por overnat, 30 Diciembre 2008, 08:13 AM

0 Miembros y 1 Visitante están viendo este tema.

overnat

Hola de nuevo,

Efectivamente tena con Rdg no funciona y tambien me habia fijado en la dll , pero esta pienso que la utiliza para los calculos en el programa y no tiene nada que ver con el put nag .

Tambien realice chequeos con filemon y regmon y con filemon no consegui localizar el fichero que dices ( Licence.exe) .

El regmon me abre muchas claves del registro y no tengo suficientes conocimientos para saber que hace , ademas no localice una clave que hiciese referencia unicamente a bobs , es decir , todas las claves aparecian con algo de windows y no queria urgar mucho hay .


Agradezco vuestra ayuda .

overnat

He mirado varias cosas sobre los ficheros

License.exe y License.dll

Si creas dos ficheros ficticios con esos nombres , al intentar abrir el programa nos da un error imagino por que realiza alguna peticion a esos fichero .Pero es curioso si cambiamos el fichero license.dll falso por otro como la dll de directx3d , el programa nos volvera a tirar la nag , esto me parece raro a mi ó es raro .

Son trasteos nada mas por que no he conseguido nada de nada .

Queria preguntarte una cosilla Shaddy .

Como descompilo ó debugeo un programa creado con unnamed scrambler , no encuentro nada mas que el encrypter unnamed scrambler .

Salu2

Shaddy

Cita de: overnat en  7 Enero 2009, 05:48 AM
He mirado varias cosas sobre los ficheros

License.exe y License.dll

Si creas dos ficheros ficticios con esos nombres , al intentar abrir el programa nos da un error imagino por que realiza alguna peticion a esos fichero .Pero es curioso si cambiamos el fichero license.dll falso por otro como la dll de directx3d , el programa nos volvera a tirar la nag , esto me parece raro a mi ó es raro .

Son trasteos nada mas por que no he conseguido nada de nada .

Queria preguntarte una cosilla Shaddy .

Como descompilo ó debugeo un programa creado con unnamed scrambler , no encuentro nada mas que el encrypter unnamed scrambler .

Salu2

Lo de unnamed scrambler era un ejemplo, no tiene porque ser ese... es el primero que me vino a la cabeza que es capaz de engañarte a la hora de reconocer el compilador...

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

overnat

#23
Alguna idea ó manual ó lo que sea para poder continuar .

Una cosa más .

Cargo el programa en olly le pongo un BP en CreateWindowsExA y el programa se detiene cuando muestra el nag como es de esperar, pues bien , pulso alt-F9 y me muestra esto .

4EBC6B36    6A 01                   PUSH 1
4EBC6B38    6A 01                   PUSH 1
4EBC6B3A    53                      PUSH EBX
4EBC6B3B    53                      PUSH EBX
4EBC6B3C    68 000000A0             PUSH A0000000
4EBC6B41    68 346CBC4E             PUSH 4EBC6C34                                  ; ASCII "GDI+ Window"
4EBC6B46    50                      PUSH EAX
4EBC6B47    53                      PUSH EBX
4EBC6B48    FF15 F814BA4E           CALL DWORD PTR DS:[4EBA14F8]                   ; user32.CreateWindowExA
4EBC6B4E    3BC3                    CMP EAX,EBX
4EBC6B50    A3 040AD24E             MOV DWORD PTR DS:[4ED20A04],EAX
4EBC6B55    0F84 46A10400           JE 4EC10CA1
4EBC6B5B    56                      PUSH ESI
4EBC6B5C    57                      PUSH EDI
4EBC6B5D    68 03080300             PUSH 30803
4EBC6B62    E8 1B010000             CALL 4EBC6C82

Esta bien ?.

Si pulso continuamente en alt+F9 se queda en un bucle je y no sale .

salu2

Shaddy

Primero tienes que asegurarte de saber con que estas tratando...
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

tena

Mira vos jeje
No conocia este detector Protection id que acaba de postear el usuario zart..

Pues que bien ese detector me dice esto de tu programa..

dotNet Reactor v3.3 (or newer) protected !

Esta protegido con dotNet Reactor v3.3

Slds

overnat

Hola,

He estado revisando el programa con Protection id y es verdad que decia Dotnet .

Por lo que me lie a buscar info sobre este tipo de proteccion , y parece que nuestro querido programa no va ser nada facil meterle mano  :rolleyes: ....

Buscando info encontre varias utilidades , pero yo no consigo sacar nada en claro, bueno si algo si . El programa utiliza una libreria ezencryption_lib , no estoy seguro pero creo que es una especie de libreria para cifrar textos y codigo fuente .

Por otro lado he podido hacer un trace del programa con una aplicacion llamada dotTrace ( San roto el coco con el nombre :) ) . Con esta aplicacion he conseguido ver los datos que te digo arriba y algo más pero yo tengo pocos conocimientos en este tema . 

Tambien he encontrado esta aplicacion , que tampoco se muy bien su utilidad aun teniendo un nombre bien clarito .

License Manager Killer Win32


Otra mas DotNET_Reflector_v2.01.04


Dotnet Dumper para dumpear el codigo .net


Cff Explorer puedes crear nuevos .exe quitando componentes de .net .

{smartkill} v0.3 Puedes ver direcciones Hex de codigo .net y modificar partes de codigo .

He localizado un Crackme de como eliminar un nag .net y parece facil , pero el problema es que este no lleva la proteccion de codigo .

Estoy intentando entender como funciona el protector dotnet si localizo mas informacion te ire informando .

Creo que Apuromafo tiene un plugin en su blog que es para descompilar .net en olly y viene incluido el tema de dotnet . A ver si me entero mejor.

Bueno Salu2 .


zart

Cita de: tena en  8 Enero 2009, 23:11 PM
Mira vos jeje
No conocia este detector Protection id que acaba de postear el usuario zart..

Pues que bien ese detector me dice esto de tu programa..

dotNet Reactor v3.3 (or newer) protected !

Esta protegido con dotNet Reactor v3.3

Slds

Se me olvidó también comentar que tenemos otra opción de las 3 que comenté en el post correspondiente xD

Y es subir el .exe o .dll siempre y cuando no sobrepase los 10 mb si mal no recuedo (Creo que antes en la web ponía el límite pero ahora tonto de mí no lo encuentro xD) a virustotal ya que con las últimas mejoras añadidas hay varios AVs como KAV,Authentium y F-Prot que llevan detección de packers xD

Shaddy

Justamente lo que yo decía XD, un packer (en este caso para .NET) que lo encapsulaba y le hacía creer que era un Delphi... (por el compilador del packer).

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com