Duda con comprobación CRC

Iniciado por .:UND3R:., 26 Agosto 2011, 07:13 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

.:UND3R:.

26 Agosto 2011, 07:13 AM
Hola a todos, bueno tengo una duda encontré un programa que tiene tal comprobación, es decir al momento de cambiar un flag de una sección, este me lo detecta, mi duda es como puedo evitar este chequeo? si al momento de descomprimirlo este me crea más secciones y con nombres distintos? Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

.:UND3R:.

#1
26 Agosto 2011, 08:35 AM
Pensándolo bien el programa debe leer las secciones y ver sus atributos, que API se encarga de eso?

VirtualProtect que más?

Gracias

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

.:UND3R:.

#2
26 Agosto 2011, 09:27 AM
además aparte de tener los mismos flag, debe tener la misma cantidad de secciones, como puedo hacer esto? o saltear la comprobación?

Gracias

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

MCKSys Argentina

#3
26 Agosto 2011, 18:37 PM
Por definición, un CRC no comprueba los flags de las paginas de memoria donde estan las secciones.

Lo que comprueba es el PEHeader (y con esto los flags seteados en el para cada sección)

La tecnica mas sencilla de usar es el metodo de CreateFile.

NORMALMENTE el programa usa esta API para abrir el EXE. Si hookeas la API, puedes ver la parte donde calcula el CRC.

Si se pone dificil, puedes probar ir nativo y hookear ZwCreateFile (ntdll).

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

.:UND3R:.

#4
26 Agosto 2011, 18:40 PM
Buena info, abría un tutorial de eso?, busqué por CRC pero ninguno hablaba sobre lo que comentaste

Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

MCKSys Argentina

#5
26 Agosto 2011, 18:45 PM
Hace poco subi a CLS un inline para Winlicense que usa esta tecnica. Aunque es un poco distinta de la usada normalmente, la idea es la misma:

1) Hacer una copia del original con extension .ext
2) Hookear CreateFile (o ZwCreateFile)
3) Cuando el proggie llama a la API, redireccionar el parametro pasado para que apunte al EXE original (el renombrado)


Asi, los CRC caen sin mucho esfuerzo, usando un inline.

El tute que hice es este: http://ricardo.crver.net/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1332-Tut08_Winlicense_Inline_Patching_AbarrotesPDV212_por_MCKSys.7z

Saludos!

PD: Puedes usar el buscador de la web con "inline". Ahi salen varios.
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

.:UND3R:.

#6
26 Agosto 2011, 21:47 PM
Gracias por responder  ;-), en resumen debo introducir la API dentro del exe alterada para que verifique el original.ext y cada vez que sea llamada por el programa, este apunte al injerto de creado?,esa es la teoria?

Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

MCKSys Argentina

#7
26 Agosto 2011, 21:48 PM
No.

Colocar un gancho en la API para interceptar la llamada y cambiar los parametros en runtime.
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

.:UND3R:.

#8
26 Agosto 2011, 21:59 PM
jeje lo escribes de manera que se vea facil, saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Imprimir
Ir Arriba Páginas1
Acciones del Usuario