Duda con 011- OLLY y VISUAL BASIC por COCO

Iniciado por .:UND3R:., 3 Agosto 2011, 19:57 PM

0 Miembros y 1 Visitante están viendo este tema.

.:UND3R:.

Hola a todos, bueno les comento primero que todo no me ha gustado para nada este tutorial ya que tan solo realiza y no explica por eso me surgen dudas ya que no quiero saber el serial (método que explica COCO) si no al contrario, Como se puede saber el serial, mi duda empieza aquí:


CitarLA PALABRA MAGICA:

Visual Basic 5.0

CALL [EAX+000000A0]
CALL [EDX+000000A0]
CALL [ECX+000000A4]

Visual Basic 6.0

CALL [EAX+000000A0]
CALL [ECX+000000A0]

Bueno entiendo que se debe iniciar el crackme desde ollydbg luego de insertar el ID y serial se debe colocar un BP en CALL [EAX+000000A0] Mi pregunta son:

1)Por qué ahí se debe colocar el bp?
2)Por qué COCO menciona que debe ser el primero que encuentre ollydbg
3)luego de esto pide que se tracee hasta llegar a la API:
.__vbaVarTstEq
Citar
y ahí entrar en ella con f7 hasta llegar al primer push 0 y luego dirigirse a ECX y hacer click derecho y poner "follow in stack"

¿Por qué se almacena ahí (un poco más abajo a donde me lleva ECX), es decir esta API trabaja igual en cualquier crackme que la utilice?

4)si luego de tracear si supuestamente el programa no utiliza .__vbaVarTstEq
debería seguir el serial falso con breakpoint memory on execution?
5)CALL [EAX+000000A0] funciona tanto para VB 5.0 y VB 6.0?

Si me pudieran aclarar eso se los agradecería demasiado Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Иōҳ

#1
1) Bien no soy experto en los Binarios hechos en VB, pero si practicas un poco con ellos te darás cuenta, de que justo antes de que halles el punto caliente, está esa llamada mágica.

Ahora creo que es por la menera que está estructurado el VB, es la respuesta a tu pregunta.

En mis pocas veces que visto VB (una de esas fue el concurso de CrackLatinos, que vi algo de 10 VB), me di cuenta que (no entodas) despues de esa llamada está el menjurge.*

2)Pues creo que así es la estructura del VB

3) La API a usar puede variar, incluse puede usar comparaciones en punto flotantes, u otras, y no solamente APIS

4)Pues si ya tienes el serial falso, y estás en el punto caliente gracias a la llamada mágica tan solo sigues traceando (siempre y cuando estes con la certeza de que ese es el lugar, si no podes usar HBPM on access (ese yo usaría, porque pararía cada vez que queiran acceder al serial puede que lo copien en otro buffer o hagan algo con el).

5)No necesariamente, aveces ni lo encuentras esas llamadas mágicas, haste he logrado encontrar una llamada así:

CALL [ECX+000000A8]


Ahora lamento no darte una explicación tan detallada, pero lo que menciono es lo que me ha pasado durante mis vivencias con VB 5.0, 6.0.


* Yo lo entendí así, te pongo un ejemplo, así como el salto mágico en los packers, como supieron que existía algo así (?), pues al analizar las entradas de la iat,  se dieron cuenta que no todas las entradas son reedireccionadas, si no que el debugger reconoce algunas porque están "intactas",  luego se pusieron a ver porque pasaba eso, apartir de ese pensamiento (es mi conjetura), se dieron cuenta de que había un salto mágico que "elegía" que entrada iba hacer direccionada, ahora porque sucedía esto, pues porque esa es la estructura del packer osea de esa manera fue diseñado.

De igual modo el salto mágico al tú encontrar siempre ese patron, y te dabas cuenta que en muchos VB pasaba lo  mismo, entonces este también era una llamada mágica (es mi pensamiento).

Un Saludo, Nox.

Eres adicto a la Ing. Inversa? -> www.noxsoft.net

.:UND3R:.

Gracias por las respuestas, me has aclarado algunas y las otras me haz dejado una idea general  ;-), bueno de todas formas si alguien pudiera reforzar alguna de las respuestas

Muchas gracias y saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

apuromafo CLS

coco paso por crackedo decenas o centenas de aplicaciones en su tiempo, +orc flavia y otros,  obviamente cada uno crea sus metodos, sugiero sigas leyendo y veas lo mas relevante luego hay uno de lisa y arapunk tambien que hacen referencia, y otros que hablan de puntos magicos en vb

//

actualmente depurar un vb puedes tener muchas formas y con bp puedes guiarte, pero es normal que intentes crear un resumen de parametros y no estar buscando siempre lo mismo

por ejemplo yo en visual basic tengo un programa (dll inline) para vbstrcmp test eq y para el bin tambien...

era de un team Res (aun esta vivo ese team)
esta en mediafire.com/apuromafo

>-este link por si lo quieres checkear
http://www.mediafire.com/?sockyth09ci


saludos Apuromafo