[Ayuda] Themida Bypass Winlicence

Pinkof · 29 Noviembre 2010, 13:50 PM

Queria saber si alguien me puede ayudar o decir como hacer un bypass de HWID en themida version 2.1.x.x
Yo intente hacerlo como vi en varios tutos que dicen que tenes que parar en la comparacion de cmp ECX,EAX y colocar 0 en el quinto seguimiento.. que aparece despues de 4 00000000 seguidos

Lo unico que logre hacer es que me aparescan estos carteles con o sin la licencia que se necesita..

Habia mas pero los pase de largo me dio fiaca colocarlos jee XD

Si alguien me puede ayudar se lo agradescoo! =) salu2

apuromafo CLS · 29 Noviembre 2010, 14:39 PM

1)trial reset para que te dure mas dias y borres todo lo extraño
2) el bypass es para is_registred hay como 2 check

3) si tienen baneada aquella licencia, debe habilitarse otra parte mas

, las 2.1 aun no tienen del todo tutorial, pero encuentro que es mucha perdida de tiempo (dias) para un unpack funcional
4)no es un nivel facil, debes estudiar themida y winlicence para animarte a usar aquel programa.

Pinkof · 29 Noviembre 2010, 14:54 PM

Esos carteles me iban apareciendo a medida que iba probando las comparaciones de cada uno... en realidad el que me aparece al ejecutarlo solo es que mi hwid id es diferente. No se si me explico.

Como se cual es el valor de is_registred?

apuromafo CLS · 29 Noviembre 2010, 15:11 PM

Cita de: Pinkof en 29 Noviembre 2010, 14:54 PM
Esos carteles me iban apareciendo a medida que iba probando las comparaciones de cada uno... en realidad el que me aparece al ejecutarlo solo es que mi hwid id es diferente. No se si me explico.

Como se cual es el valor de is_registred?

si has leido tutoriales, y no has estudiado la vm que tiene, no veras logica, pero en forma simple, para que bypasees ese dialogo debes hacer que el valor de la macro en winlicence diga que esta registrado los valores son 0 y 1

en forma de recuerdo envio este tutorial de un amigo de Crackslatinos
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1201-1300/1214-Winlicense%20HWID%202110%20por%20GUAN.rar

ahi hay un winlicence 2.1.xx

Pinkof · 29 Noviembre 2010, 15:18 PM

ese tutorial es el que lei y de ahi consegui sacar la info de esos carteles atraves de estos movientos en la comparaciones de ecx y eax

CitarCMP ECX,EAX ROUTINE
1) 00000000
2) 00000000
3) 00000000
4) 00000000
5) mov ECX,EAX or mov EAX,ECX = Nothing
6) mov ECX,EAX or mov EAX,ECX = BANNED
7) mov ECX,EAX or mov EAX,ECX =License not expirable
8) mov ECX,EAX or mov EAX,ECX = Key Locked to a Specific machine.
9) mov ECX,EAX or mov EAX,ECX = Sorry,No more Instances allowed to run
10)mov ECX,EAX or mov EAX,ECX = Yoe need to launch first the application on server
11)mov ECX,EAX or mov EAX,ECX = Your license key is corrupted

ETC.

Quizas resulte interesante lo que encontre quizas no

y tambien me di cuenta que antes de que arroje el aviso del cartel pones en eax o ecx el valor a uno
y sigue decompilando el programa pero al final crashea XD jeje pero seguire investigando para ver si encuentro algun otro resultado XD

apuromafo CLS · 29 Noviembre 2010, 18:11 PM

si, pero todos esos comandos vienen de un vm, o maquina virtual,
existen script para bypasear, pero hay que recordar el crc, y el driver

te sugiero que revises el tutorial de quoseyo, y el que te comparti,
ademas hay muchos mas escritos, pero el tema en si es que no hay script magico ni unpacker genial, el tema es que si sabes desempacar una aplicacion, puedes hacerlo tambien en estos packers.

yo cuando no puedeo desempacar lo inlineo, y la tecnica de bypasear viene de un inline, cuando recien escribe en memoria la comparacion..
supongo ya la leiste.

Pinkof · 29 Noviembre 2010, 19:28 PM

no no lei sobre eso inline me podrias ayudar por favor?

Donde esta el tutorial de quoseogo no lo encontre en ninguna parte..

Gracias Por responder:D

Pinkof · 30 Noviembre 2010, 23:38 PM

alguien me puede ayudar en esto por favor

apuromafo CLS · 2 Diciembre 2010, 18:20 PM

quoseyo esta en tuts4you. tu posteaste ahi. hay un thread de themida.

con respecto a winlicence, es complicado. yo lo hice para quitar un troyano, pero luego desempacado analizado esta sacado..
no espero compartir por falta de tiempo
lo que hace guan es un inline.. inline, significa que no desempacas para parchar o hacer algo, mantienes el mismo exe y agregas codigo de tu parte para que logres el objetivo..

ricardonarvaja.info es el comienzo..lo demas se aprende en el camino

Pinkof · 6 Diciembre 2010, 05:06 AM

es posible transformar un scrip que hace el bypass dentro del ollydbg para evitar la deteccion de hwid a un Loader. Es decir yo ejecuto el Loader.exe y este a su vez ejecuta el programa y le hace los cambios respectivos para hacer el bypass al HWID

Es posible eso de hacer del script .txt un loader.exe?
Si se puede me dirian como hacerlo?