hola que tal a todos me gustaria saber como puedo desempacar un programa protegido con winlicense de antemano muchas gracias
Existe un tuto ruso excelente sobre el sistema de proteccion Themida q es similar al Winlicense.
link : (traducido al ingles)
http://babelfish.altavista.com/babelfish/trurl_pagecontent?lp=ru_en&trurl=http://www.dotfix.net/module.php%3Fmodule=@6e786b36786a7a687474696d655c70635f66615b57
Cita de: Eraser en 2 Mayo 2007, 18:58 PM
Existe un tuto ruso excelente sobre el sistema de proteccion Themida q es similar al Winlicense.
link : (traducido al ingles)
http://babelfish.altavista.com/babelfish/trurl_pagecontent?lp=ru_en&trurl=http://www.dotfix.net/module.php%3Fmodule=@6e786b36786a7a687474696d655c70635f66615b57
Hola amigos, en primer lugar me presento al foro, que aunque llevo tiempo leyendo a los maestros, hasta ahora no me he animado a participar, pues no tengo muchos conocimientos aun sobre el tema.
Bueno una vez presentado, e interesandome el asunto del hilo, el enlade al tuto ya no está activo.
Si pueden indicarme donde obtenerlo, o pasarmelo, os lo agradeceria, pues tengo entre manos una programa, creo que protegido con winlicense, porque una de sus secciones tiene dicho nombre y en las ventanas antiatques me sale dicho titulo en la barra de la ventana, pero el RDG-Packer Detector me diche que es Xtreme-Protector v1.08 (y no se si será lo mismo o algo parecido, la verdad es que está empaquetado, antidebug, antidump, antimonitores) y con las herramientas y elementales conocientos que tengo no puedo saltar estas protecciones, habra que hacerlo a pelo, pero no se por donde estuidar del tema.
Gracias a todos por vuestra labor y ayuda.
Cita de: maylat en 1 Mayo 2007, 00:06 AM
hola que tal a todos me gustaria saber como puedo desempacar un programa protegido con winlicense de antemano muchas gracias
para todos los que no sepan de que se trata , realmente lo que dices seria un nivel un poco mas superior que cualquier newbie, que se esta iniciando
desempacar un winlicence implica
*saber la base de unpacking
*conocer temas como maquina virtual
*reparar iat
*agregar sección al ejecutable
*perder minimo 5 minutos viendo porque no corre
winlicence y themida es un protector comercial
que explota muchas bulnerabilidades de el olly y otros programas
*antimonitor
*limitacion de dias
*maquina virtual(ejecuta codigo en otra parte)
*desencripcion del programa a partir de una licencia valida
ningun unpacked de themida ni winlicence es dificil de hacer, pero si te tardara
puesto que tendras un dumped, pero hay secciones a reparar
minimo para desempacarte un winlicence debes saber como llega al oep
practica viendo videos y cosas por el estilo
aqui tienes un ejemplo cualquiera de themida
http://www.mediafire.com/?szedajjmgjj
te sugiero de experiencia
que uses un olly ice o ollyshadow +plugins como por ejemplo poison 01
y que en los bp de primera lo hagas de a bp en execute y memory
si te carga el olly el unpacking recien ahi puedes seguir, pero si no te corre deberas hacerlo posible
recuerda que existen outputdebugstringA que pueden sacar a olly no parchados
y que hay algunos que necesitan como valor 1 y otros como 0
asi que mucha atencion :)
amm un amigo de tuts4you o mas bien dicho SnD
hizo un video desempacando un Winlicence
pesa 20 mb
http://www.mediafire.com/download.php?ftrdzylmm3a
y es a mi modo de ver uno de los mas bases para que comienzes
saludos Apuromafo CLS
@LSL
themida de oreans, winlicence de oreans
xtreme protector de '???
cuando ves el programa en olly o cualquier depurador normalmente un themida
o winlicence comienza asi
mov eax,0
los xtreme protector era un programa antiguo, si realmente es eso habia un unpacker que las tomaba todas
en esta otra , es muy diferente
si tienes que pedir ayuda del programa o donde quedaste seria bueno un toppic nuevo :)
por eso te digo, puede que sea el mismo nivel de dificultad o puede que no
pero eso no es nivel de novato, ni de ayuda de cualquier persona que recien comienza
google tiene mucha referencia, pero solo tu experiencia al tema y a la luz de los tutoriales seran capaces de exponer la verdad
saludos
apuromafo, muchas gracias por responder y por tu información, ya tengo algo por donde empezar.
a ver que puedo hacer con ella ... :huh:
maylat y LSL
hay un unpacker que sirve para algunas versiones de themida y winlicence
si es themida o winlicence con desencripcion normal y sin tanto problema
te servira el unpacker
http://www.mediafire.com/?3tyxyxmyydo
si es xtremeprotector hay un unpacker para equipos antiguos, como por el windows millenium, 98 o 2000 quizas..
http://www.mediafire.com/?c2u7oyjmlyd
mas informacion seria mucho..
por el momento comienzen probando algo simple :) el unpacker de alguien de gran experiencia en teams chinos e ingleses..
saludos
pd: hoy aparecio un nuevo tool para winlicence que sirve para ver de quien es el splash.. osea el autor de la licencia y esas cosas.. pero bueno.. eso son anexos para los curiosos ;)
http://www.mediafire.com/?n1n5txzdmcy
Saludos Cordiales Apuromafo
Como te comenta apuromafo WinLicense y Themida son muy complicados de destripar ya que utilizan técnicas avanzadas que no todos conocemos perfectamente.
Por si te puede servir de ayuda, te comento que yo reparé un programa mío protegido con Themida que estaba compilado con Visual Basic 6. Verás que no indago en las entrañas de Themida porque es muy difícil, así que dejo que Themida haga su trabajo y le voy poniendo trampas. A ver si te vale:
TUTE Themida por karmany (http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/901-1000/948-Reparando_un_VB_protegido_con_Themida_por_karmany.rar)
hola karmany, muchas gracias por tu tute, lo leere para aprender mas cosas y tomar ideas. El programa que tengo entre manos, está hecho en MS Visual C++, segun infoma el RDGPacker, pasado a una dump del programa, que he conseguido obtener con el XprotStripper2K v1.1., pero que como es obvio no funciona.
Cuando corro el dump, sale un mensaje de:
---------------------------
WinLicense
---------------------------
File corrupted!. This application has been manipulated and maybe
it's infected by a Virus or cracked. This application won't work anymore.
---------------------------
Aceptar
---------------------------
hola apuromafo,
Citaramm un amigo de tuts4you o mas bien dicho SnD
hizo un video desempacando un Winlicence
pesa 20 mb
http://www.mediafire.com/download.php?ftrdzylmm3a
y es a mi modo de ver uno de los mas bases para que comienzes
Este video me viene de perlas, pues por suerte por mi parte, el programa en cuestión es uno de los modulos de las versiónes actuales del que se ha tomado para el manual, asi que si lo sigo al pie de la letra, ::)
Muchas gracias a todos por vuestra ayuda.
Cita de: LSL en 23 Julio 2008, 19:54 PM
hola karmany, muchas gracias por tu tute, lo leere para aprender mas cosas y tomar ideas. El programa que tengo entre manos, está hecho en MS Visual C++, segun infoma el RDGPacker, pasado a una dump del programa, que he conseguido obtener con el XprotStripper2K v1.1., pero que como es obvio no funciona.
Cuando corro el dump, sale un mensaje de:
---------------------------
WinLicense
---------------------------
File corrupted!. This application has been manipulated and maybe
it's infected by a Virus or cracked. This application won't work anymore.
---------------------------
Aceptar
---------------------------
eso de debe parchar
aqui un ejemplo de eso
http://www.unpack.cn/viewthread.php?tid=22819&extra=page%3D1
esta en chino, pero tiene algo de claro
al final un bp en el retn8 de GetProcAddress
imagehlp.CheckSumMappedFile
y sacaras el checksum real
luego parchas segun se indica ;)
saludos