ayuda para novatos

Iniciado por ironbike, 6 Enero 2011, 02:08 AM

0 Miembros y 1 Visitante están viendo este tema.

ironbike

hola, he empezado a utilizar hoy mismo el ollydbg.

he leído este post: http://foro.elhacker.net/ingenieria_inversa/taller_de_cracking_desde_cero_actualizado_27julio2008-t180886.0.html

y los primeros temas de ricardo narvaja o algo asi.

he llegado aqui, pero no se si tengo que poner un BP, ir a la ruta o que hacer, estoy mas perdido....!!


CPU Disasm
Address   Hex dump          Command                                  Comments
75EE041D    68 0005EE75     PUSH OFFSET 75EE0500                     ; ASCII "BasepAllocateActivationContextActivationBlock"
75EE0422    68 B804EE75     PUSH OFFSET 75EE04B8                     ; ASCII "SXS: %s - Failure getting active activation context; ntstatus %08lx
"

he llegado hasta aqui buscando algo en los comentarios que diga activación, no por azar ni analisis ninguno.
luego he buscado lo que hacia 75EE0500 y es lo siguiente:

CPU Disasm
Address   Hex dump          Command                                  Comments
75EE0500    42              INC EDX
                     
Donde EDX vale ahora mismo: 0017EB4C, o sea que se le sumaria uno a la operacion anterior y quedaria en 0017EB4D.

Aqui ya no se como tengo que seguir ni si lo hago bien o mal, ya que para empezar, ya se que debo empezar con el crackme, pero lo veo mucho mas sencillo y lo entiendo un poco mas que este, que es algo mas complicado.....

bueno, continuemos, tengo en la otra dirección: 75EE04B8                     

CPU Disasm
Address   Hex dump          Command                                  Comments
75EE04B8    53              PUSH EBX

donde ebx vale 00000000, o sea que se junta con algo, por lo que he entendido que hace la funcion push en los tutoriales.

y hasta aqui he llegado! si alguien me puede explicar que debo hacer, estaria agradecido! ya que veo que las utilidades del debugger son infinitas!

ah! y tambien he encontrado este codigo:

CPU Disasm
Address   Hex dump          Command                                  Comments
75EE99C3    8DEE            LEA EBP,ESI                              ; Illegal use of register
75EE99C5  ^ 75 F8           JNE SHORT 75EE99BF
75EE99C7    8DEE            LEA EBP,ESI                              ; Illegal use of register
75EE99C9    75 02           JNE SHORT 75EE99CD
75EE99CB    8EEE            MOV GS,SI                                ; Modification of segment register
75EE99CD    75 0C           JNE SHORT 75EE99DB

Gracias!


ironbike

Ya veo que por aquí sigo mal, aunque nadie me ayuda en este foro.....
bueno, leyendo un poco mas sobre el ollydbg y este mundillo, he visto que lo que tenia que hacer era empezar de nuevo.
Ya así lo he hecho:


1º- Abro Sporttracks
2º- Abro ollydbg
3º-Attach sporttracks.exe
4º-Alt+E ollydbg (view executable files)
5º- Miro titulo y contenido de la alerta cuando meto cualquier contraseña:

SportTracks Actualización y activación

Error en la activación. Por favor envíe un email para ayuda a support@zonefivesoftware.com.

Invalid item #

6º- Busco estas palabras en text strings......y solo me sale esto!

http://img843.imageshack.us/i/strings.jpg/

7ºNo encuentro por ningun lado la alerta que me ha dado, solo está en el archivo siguiente:

  Pat = C:\Program Files\Zone Five Software\SportTracks 3\es\SportTracks.resources.dll

En este .dll que esta en otra carpeta que dice "es" (español) sale todo esto:

Payment id esta en vacio.MCódigo de activación invalido. Por favor envíe un email para ayuda a {0} .fLa licencia para este codigo de  activación ha caducado. Por favor envíe un email para ayuda a {0} .EError en la activación. Por favor envíe un email para ayuda a {0} .>Actualización y activación del software listo, Disfrutalo!!! {0} Actualización y activación ActivaciónCódigo de activación:Id de activación:¸Por favor instroduzca su payment item # que usted recibió al pagar,  de click en "OK" para completar la actualización y poder disfrutar de las características extras de SportTracks.
Comprar ahoraÛUsted será guiado a un servidor web seguro, donde su orden será procesada. Despues de que su orden sea procesada, regrese al programa, introduzca su payment item #, click en "Activar" para completar la actualización.{0} Actualizar,Click en "Comprar ahora" para procesar su orden, o en "Activar" si usted ya hizo su pago y esta listo para actualizar SportTracks./€¢


Y a continuación, los mismos pasos que sigo yo desde el programa real:

Mostrar detenidoSistemaActivarCódigo de activación:Ver registro del sistema
Comprar ahoraID de instalación:   Versión:Información de licencia

8º-Como puedo seguir????? O mejor dicho, boy en buen camino?? Me he quedado bloqueado aqui y no se que hacer.....alguien me ayuda?
Gracias

apuromafo CLS

lo voy ha decir facil

1) usar un detector de packer/compilacion
2) atacar y realizar procedimiento con las herramientas indicadas
depurar un exe, esta bien y se enseña, pero depurar un .net es despues que ya aprendiste todo..

link: sporttracks/store/download-trial.php->
bajado 3mb->analisis:
Microsoft Visual C# / Basic.NET / MS Visual Basic 2005
3)
encontrar las clases importantes con .net tracer o net reactor..
y descompilar, tracear con herramientas de debugging en .net

yo solo revise punto 1, 2 , el 3 se aprende con el tiempo espero logres dar..con el punto..3 luego de practicar


4)ollydbg no te servira para modificar a menos que aprendas IL (codigo intermedio)

saludos Apuromafo

ironbike

Voy a intentarlo.....gracias por la información! Ya te diré como me ha ido.... :o

apuromafo CLS

yo ayer lo decompile y hay un metodo en info..en forma simple hay que lograr que una variable sea true, luego buscar donde parchar la expiracion del programa y disfrutar..

limitacion=reconocimiento licencia,limitacion de dias, no tiene strong ni otras..

quizas en 1 mes o menos de 1 año, quizas vas a tener todo esto entendido..
espero que te animes, porque despues quiero leer tutoriales ;)

SAludos Apuromafo
pd:no me animare con la aplicacion por falta de tiempo y no se en que uso le daras...prefiero que aprendas y lo logres, si tienes dudas..
deberas comenzar con esto
1) encontrar el entrypoint :ver el form o el codigo de donde es llamado
2)luego la verificacion del codigo
3)encontrar como cambiar la fecha del directorio y la del programa ..para vencer..
4)quitar otros detalles de haberlos..


43H4FH44H45H4CH49H56H45H

#5
@ironbike solo debes buscar el método get_IsActivated() y cambiar el valor de retorno:

Sustituir beq.s por br.s y con eso es suficiente hasta donde probe...
El método get_IsActivated() lo utiliza en todas las comprobaciones que leí en el programa, y cambiando el valor de retorno queda asi:



y no salen las limitaciones que da el trial.

Si buscas crear un keygen, el serial se basa en el id del procesador con algunas modificaciones y un poco de criptografía, igual de sencillo al método de validación, todo esta cerca al método mencionado.

Saluos.

-R IP
:0100
-A 100 
2826:0100 MOV AH,09
2826:0102 MOV DX,109
2826:0105 INT 21
2826:0105 MOV AH,08
2826:0105 INT 21
2826:0107 INT 20
2826:0109 DB 'MI NICK ES CODELIVE.$' 
2826:0127 
-R BX
:0000
-R CX
:20
-N CODELIVE.COM
-W

apuromafo CLS

las limitaciones que encontre, esta bloqueado el usuario y pass al hiw (pc+otras criptografias, ) y el trial de 30 dias, lo demas lo veo como full

ironbike

@43H4FH44H45H4CH49H5
Muchas gracias por la info que me has aportado, ahora ya se lo que tengo que hacer:

-get_IsActivated() buscarlo y cambiar el código:  beq.s por br.s

el problema: que no lo he encontrado en el ollydbg (ya que me imagino que tendria que buscarlo en otro programa).
Lo que he hecho:

bajarme el VB decompiler, bajar el MVB 6.0, el Visual Studio con c++ y c#, el .NET Reactor, y el C-Decompiler.

Creo que con el VB decompiler era suficiente, lo que pasa que no puedo abrir el archivo con ningun descompilador (no se si es porque estara bloqueado el programa, o algo, pero lo he intentado bastantes veces y se bloquea :

Nombre del evento de problema:   APPCRASH
Nombre de la aplicación:   C-Decompiler.exe
Versión de la aplicación:   1.0.0.1

Como puedo descompilarlo?

Y para @apuromafo:
hay un metodo en info..en forma simple hay que lograr que una variable sea true, luego buscar donde parchar la expiracion del programa (me imagino que info. se tiene que descompilar)
1) encontrar el entrypoint :ver el form o el codigo de donde es llamado
2)luego la verificacion del codigo
3)encontrar como cambiar la fecha del directorio y la del programa ..para vencer..
4)quitar otros detalles de haberlos..


Con que programas?

las limitaciones que encontre, esta bloqueado el usuario y pass al hiw (pc+otras criptografias, ) y el trial de 30 dias
Estas limitaciones si que las habia encontrado, gracias.

Gracias a ambos! Estoy aprendiendo mucho! (aunque ya se que debería empezar por la base, pero siempre he apoyado a la comunidad informática para liberalizar tanto el software como la información). Me gustaría aprender sobretodo con este programa porque no creo que a casi ningun hacker le interese crear ni el keygen ni el crack de este programa de deporte.


rdzlcs

Bueno muchas gracias por la información a mi también me sirvió la información.

ironbike te recomiendo el mejor manual de Ollydbg que leí hasta el momento, y creo que muchos estarán de acuerdo se llama INTRODUCCION AL CRACKING CON OLLYDBG de Ricardo Navaja esta muy bueno, es muy completo, ademas de la teoría que tiene, la practica da bases muy profundas de lo que es el cracking con este programa..

SAludos!!
Navegando en un mar de unos y ceros. Saltando de capa en capa por un modelo que lejos de ser seguro, nos da la libertad de Ser y No Ser.

ironbike

CL1O
Me he mirado parte de ese manual, y también estoy de acuerdo que es el mejor de ollydbg.
Pero me pensaba que lo de cambiar el codigo beq.s por br.s se hacia con el visual basic o algun descompilador. ya que he buscado el comando get_IsActivated y no lo he encontrado en ollydbg....

Adios!