Duda con comprobación CRC

Iniciado por .:UND3R:., 26 Agosto 2011, 07:13 AM

0 Miembros y 1 Visitante están viendo este tema.

.:UND3R:.

Hola a todos, bueno tengo una duda encontré un programa que tiene tal comprobación, es decir al momento de cambiar un flag de una sección, este me lo detecta, mi duda es como puedo evitar este chequeo? si al momento de descomprimirlo este me crea más secciones y con nombres distintos? Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

.:UND3R:.

Pensándolo bien el programa debe leer las secciones y ver sus atributos, que API se encarga de eso?

VirtualProtect que más?

Gracias

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

.:UND3R:.

además aparte de tener los mismos flag, debe tener la misma cantidad de secciones, como puedo hacer esto? o saltear la comprobación?

Gracias

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

MCKSys Argentina

Por definición, un CRC no comprueba los flags de las paginas de memoria donde estan las secciones.

Lo que comprueba es el PEHeader (y con esto los flags seteados en el para cada sección)

La tecnica mas sencilla de usar es el metodo de CreateFile.

NORMALMENTE el programa usa esta API para abrir el EXE. Si hookeas la API, puedes ver la parte donde calcula el CRC.

Si se pone dificil, puedes probar ir nativo y hookear ZwCreateFile (ntdll).

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


.:UND3R:.

Buena info, abría un tutorial de eso?, busqué por CRC pero ninguno hablaba sobre lo que comentaste

Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

MCKSys Argentina

Hace poco subi a CLS un inline para Winlicense que usa esta tecnica. Aunque es un poco distinta de la usada normalmente, la idea es la misma:

1) Hacer una copia del original con extension .ext
2) Hookear CreateFile (o ZwCreateFile)
3) Cuando el proggie llama a la API, redireccionar el parametro pasado para que apunte al EXE original (el renombrado)


Asi, los CRC caen sin mucho esfuerzo, usando un inline.

El tute que hice es este: http://ricardo.crver.net/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1332-Tut08_Winlicense_Inline_Patching_AbarrotesPDV212_por_MCKSys.7z

Saludos!

PD: Puedes usar el buscador de la web con "inline". Ahi salen varios.
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


.:UND3R:.

Gracias por responder  ;-), en resumen debo introducir la API dentro del exe alterada para que verifique el original.ext y cada vez que sea llamada por el programa, este apunte al injerto de creado?,esa es la teoria?

Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

MCKSys Argentina

No.

Colocar un gancho en la API para interceptar la llamada y cambiar los parametros en runtime.
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


.:UND3R:.

jeje lo escribes de manera que se vea facil, saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)