Consulta: Novato, luchando contra armadillo 3.00a

Iniciado por nemor44, 20 Abril 2012, 17:35 PM

0 Miembros y 1 Visitante están viendo este tema.

nemor44

Hola a todos!

Les cuento que estoy empezando con esto de la ingenieria inversa, leyendo los tutos de Ricardo Narvaja, y googleando bastante.

Me puse a probar con un programita que tengo por acá, segun el RDG Packer Detector esta protegido por armadillo 3.00a.

El soft usa un nombre de usuario y hardware fingerprint. Yo tengo un par de keys originales, para el hw fingerprint de mi cpu, y mi nombre de usuario, pero ya caducadas.

Estoy  encarando por el camino del ollydbg y el LordPE como he leido en algunos tutos... pero mi consulta es, teniendo varias keys funcionales pero caducadas, está bien que apunte por ese lado? O hay alguna forma de generar una key para este mismo cpu y user, con más tiempo, o que no caduque?

Básicamente mi duda es... encaro el .exe del programa, o la key que ya tengo?

Gracias de antemano, y si no se entiende algo les pido disculpas, pregunten y veo como explicar mejor.

Иōҳ

El exe es dónde se gestiona todo... es por dónde debes empezar...

Creo que under posteo por ahí un script sobre algún fingerprint...

De todas maneras no pienses que se desempaca en un 2x3 requiere tiempo practicando con otros packers.. y cuando se tiene el nivel suficiente te puedes enfrentar.

Saludos,
Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

nemor44

Nox,

Antes que nada muchas gracias por tu respuesta!

No quise hacerlo sonar fácil, para nada, de hecho lo que sé como para escribir este post me tomó una noche de poco dormir y mucho leer y probar, jeje.

Se que es un camino largo, pero lo encuentro divertido, al menos hasta ahora... solo quería saber si iba bien encaminado o si estaba perdiendo el tiempo. tal vez yo estaba atacando el exe y podía conseguir una solución mucho más rapido con las keys que tenía... se entiende?

Saludos y gracias de nuevo!! Los iré actualizando en mis avances!

.:UND3R:.

Hola nemor44, bienvenido. tal como comenta Nox es un packer algo sofisticado, y si leyendo el tutorial de ricardo narvaja intentas desempaquetarlo, lo más probable es que te lleves una desepción. Es un trabajo lento pero posible, debes partir con lo básico y así sucesivamente. Saludos y éxito se que podrás.  ;-)

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

nemor44

Bueno, les pido disculpas por la demora en responder, tuve que viajar.

Under, gracias por la bienvenída!

Entonces, volviendo un poco al tema.. acá les pongo lo que dice el RDG Packer:

CitarCheck IsDebuggerPresent
Armadillo Detección Heurística
Armadillo v3.xx
Armadillo v3.00
Armadillo v3.00a

y el arma FP dice:

CitarProtected Armadillo
<-Find Protect
Protection system (Basic)
<Protection Options>
Standard protection or Minimum protection
<Backup Key Options>
No Registry Keys at All
<Compression Options>
Better/Slower Compression
<Other Options>
?-No Debug-Blocker, Child not detach
<- Elapsed Time 00h 00m 00s 234ms ->

Entonces.. segun el arma FP, no tengo debug blocker, y tengo la protección standard o mínima. Mi sentido común me dice que "standard o mínima" es algo bueno, jeje.

Encontré un tutorial para quitar armadillo 4.30a con protección mínima (no pongo el link por las dudas de romper alguna regla)... es una versión más actual del armadillo, pero supongo que puede servirme de guía. Al terminar este post me pondré a intentar seguir dicho tutorial.

Por otro lado,estuve probando los programas Armaggedon, dillodie y dillodump. Eston fueron mis resultados:

Dillodie: El programa muere al cargarle el programa... objetivo? (en varios tutoriales lo llaman así al programa que quieren crackear). Intenta iniciar el objetivo y me da error del dillodie y se cierra.

Armaggedon y dillodumper: Tuve el mismo resultado con ambos. Al elegir el exe del objetivo, ambos inicial el programa. Corrí el reloj de windows hacia atrás, cargue la key que funciona en esa fecha, y el programa corre normal. La diferencia que noté es que este método me permite actualizar la fecha a la correcta, sin que el programa objetivo lo note (normalmente salta un error de fecha modificada y se cierra). Sin embargo, yo esperaba que estos programas me crearan un nuevo exe ya crackeado, o sin armadillo, o algo así. Podrían aclararme si el funcionamiento observado es el normal, o si hay algo que falta/ falla?

Finalmente, la idea es hacerlo manualmente, pero me pareció interesante también probar con los programitas que ya vienen (armaggedon, etc), para ver que "realmente se podía".

Saludos y gracias por sus respuestas!

Иōҳ

Si no sabes las reglas aquí --->

http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html


Y pues muchos de aquí no usamos tooles para desempaquetar, si no el cerebro, lástima que no sepa porque te bota ese tipo de errores, tal vez Mafo, y si tienes la suerte de que pase por aquí te eche un cable...

Saludos.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

apuromafo CLS

jiji, lo ideal seria si realmente tienes tiempo seria que te pasaras por toda la gama de tutoriales de armadillo luego realmente testearlo por tu parte, yo suelo usar unpackers, pero aun asi jamas es como el unpack manual
(1 las nanomites son un tema curioso, es mejor parcharlas manual
2) el tema de las licencias y valores es mejor pillarlas manual (checksum )
3) el tema de inline es un tema curioso que permite inclusive parchar el ECSA, que tienen las versiones mas nuevas, pero requiere tiempo de monje


enviame los datos del programa y toda la informacion por privado, aver si te puedo ayudar en publico luego
osea HIW, fecha valida, usuario, key  y que has intentado y fotoso de lo que has visto, supongo que crear un word con la informacion y subirla a mediafire no estaria nada de mal,

digamos que hay 3 variables que deberiamos intentar como para revisar:
1) crackear el dll interno para que le de igual la fecha (normalmente armarider+algunos parches especificos que pueden ser volver a habilitar el reginfo, anular por completo el checking de fecha (o nop o jumps)   , y asi suma y sigue)

2) desempacar el programa cuando logremos tener en la fecha correcta, pero esto implica que servira solo en tu pc, por eso es necesario tener correctamente evaluado el armadillo, digamos que conozco de armadillo 2 hasta la 8,

3) la version da igual, el tema es la forma de registrar, en formas de lv 0 (unsigned) hasta signed lv 9 puede ser keygeneado, de lv 10 no es posible, pues aun no existe algo que haga el bruteforce perfecto, pues usan estilo md5+tean (digamos algo similar como RSA 1024 pero mas o menos con ECC y otras), ademas luego de registrar registra ciertas environment, que por igual lado deben analizarse

yo tengo informacion de armadillo  y en su tiempo comparti algo poco,

existe otra opcion, pero ahi si que requiere tiempo y es la mejor, pero como bien comentaba desde comienzos de este año, yo ya estoy retirado por motivos de fuerza mayor, siempre que tengo un tiempo libre me reviso un armadillo en tiempos libres, asi que no seria nada de extraño intentar revisar
y guiarte hasta donde vas
pero si se puede, genial , si no nimporta ^^
pd:espero el privado, asi no rompes reglas dando mayores datos
saludos Apuromafo