Desempacar PECompact 1.68-1.84 de una DLL

Iniciado por fperea, 15 Noviembre 2010, 09:42 AM

0 Miembros y 1 Visitante están viendo este tema.

fperea

#20
Estuve buscando los prototitpos de las funciones.
hxxp://tech.groups.yahoo.com/group/xbasic/message/16703
hxxp://www.foxite.com/archives/1way-by-atma-software-0000126808.htm
No es mucho pero sirve.
Lo que tengo entendido es que primero se revisa el status de la aplicacion con AppStatus(AppID) y luego si se revisan los seriales y otros.
Creo que al modificar la DLL para que reciba cualquier serial y lo almacene se puede remover la proteccion de muchos programas. Hay en la pagina de los autores un demo para descargar de la aplicacion:
hxxp://www.atma-software.com/1way/download.html

MCKSys Argentina

Lo que puedes bajar desde la web es un OCX.

El tema es que esta aplicacion esta usando una DLL (no es lo mismo).

Ademas, si miras la documentacion de la web, veras que la rutina ha cambiado (tambien la cantidad de parametros)
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


MCKSys Argentina

Por las dudas: Todo el tema de la registracion se guarda en el archivo WSYS049.SYS en C:\Windows.

Esta oculto, pero esta  :P

Los datos estan cifrados, pero estoy viendo a ver si se puede solucionar eso....
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


MCKSys Argentina

Viendo con Olly, despues de que llama a la funcion AppStatusVB (y vuelve al EXE) EDX queda apuntando a los datos descifrados, correspondientes al AppID...  ;)
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


tena

Bueno parcharlo resulto ser facil,

Solo haciendo que la funcion GetSerialInfo retorne en Al un 1,
luego te registras y acepta cualquier cosa, y se graba supongo que en el archivo
que dijo MCKSys.

con el serial yo no me quiero meter :)
Seguro mi amigo MCKSys lo saca y ya veo que esta bastante cerca de logralo.

slds

MCKSys Argentina

#25
Bueno, aca esta la DLL desempacada y reformada para que siempre nos de registrado (al menos en este soft): http://www.megaupload.com/?d=7P6GOLVI

Lo probe desinstalando el soft, borrando el archivo de c:\windows, reinstalando y ANTES DE EJECUTAR EL EXE, le cambie la DLL.

En proggie arranca registrado...  :P

Eso si, no tiene nombre de usuario  ;D

Saludos!

Modificado

Por las dudas: http://www.mediafire.com/?z36jv8dzvpj8p9i

ReModificado

Ah!! Lo logre haciendo que AppStatusVB devuelva 0 en EAX...
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


tena

Hola MCKsys, parece lo que decia fperea era cierto, algo debe tener
porque mi dumpeado en la maquina de él, le sale error 48 dll no encontrada.

y con el tuyo me pasa lo mismo en mi maquina.

Te paso mi dumpeado aver si te funciona o sale ese error.

http://www.mediafire.com/?58r3qzo69mk6pl7

tena

MCKSys fijate en esta parte si tenes la direccion dentro del exe

010E65C9    C605 04770C01 0>MOV BYTE PTR DS:[10C7704],1

Ahi me salta una excepcion porque 10C7704 no existe...

Cuando trata de cargar la dll salta esa excepcion y se muere.

Comparandolo con el mio,  a esa direccion la tengo adentro del exe

Veo que en mi pc  carga a tu dll en 10e0000, ahi me parece que esta el problema.

fperea

Yo sigo colgado en el dumpeado. No he podido desempacar. Probé con las dos versiones, MCKSys y Tena, y en ambas me sale error 48.
Intenté con la maquina virtual (VMWare) que tiene una instalación simple y tengo el mismo error.
Cuando trato de hacer el proceso de desempacado desde Olly con la aplicación (EvalAS), se genera una excepción y no alcanzo a llegar a la dirección en la cual se carga la DLL. 
Ya probe desinstalando y realizando todos los pasos del foro pero sigue con el mismo error 48.
Creo que el problema está en las direcciones de la API y el tamaño de la IAT.
Me ayudan, por favor, con instrucciones detalladas para hallar la API?

tena

para las excepciones configura al olly asi