Test Foro de elhacker.net SMF 2.1

Hola, estaria dispuesto alguien ayudarme a quitar una nag que sale en un programa en Visual Basic 6, No tiene ninguna proteccion y esta en native code, pero aunque he realizado varios tuto ninguno me ha dado resultado, haber si alguien me pudiese ayudar.
El programa en cuestion es A M ******
URL: www.a*******.es

Gracias a todos en especial a los maestros.

desde el EP del programa, en la ventana del codigo, haces click dercho, search for--> all constants   y escribis:  2B0  saldra una ventana con muchas direcciones, le colocas bp a todas - una de esas es la NAG asi qeu vas dando run hasta que la veas y ya sabras como evitarlo.
suerte.

solid.

Estimado solid, no, he hecho lo que me dices y para despues de salir la nag, no antes ni justo en la nag.
El programa arranca sale la nag de info y le das al boton aceptar, entonces para le programa.
Espero tu respuesta
GRACIAS

Quien quiera descargarlo para echarle un vistazo, hacer esto:

Introducir este link en el Navegador
ftp://descarga:epa85@soporte.amsystem.es/amtactil/

Una vez dentro del ftp, buscamos la carpeta que nos interesa (son las versiones del programa) en este caso, seleccionamos "v9.01.31_31_01_2008"

es decir, copiar este link y pegarlo en el navegador

ftp://descarga:epa85@soporte.amsystem.es/amtactil/v9.01.31_31_01_2008


una vez dentro descargamos "amtactil_full.exe" y ya tenemos descargada la version FULL del programa.

Un Saludo,

ok, me voy a fijar, posiblemente la nag corresponda a otro modulo.
ahora lo bajo y me fijo. tambien podes intentar cambiar el orden de los FORM
solid.

Hola:
Lo estuve ojeando y la culpable de que salga la primera nag es la dll que se encuentra en X:\Amsystem\Comun\AMLicencias.dll.
Lo unico que tienes que hacer es buscar el momento que hace la llamada a:

CALL DWORD PTR DS:[ECX+C4]               ; AMLicenc.11004B98

Haces que no la llame y listo.Entras directamente a usuario y contraseña.
Bueno, ya te darás cuenta de que no se puede eliminar de un plumazo.
Suerte,

Mintaka

ERASER, siento tener que decirte que las versiones full corresponden al programa con las librerias, para instalarlo inicialmente, y las otras versiones son de actualizacion, no tiene nada que ver con el registro, por cierto tengo curiosidad aunque los link no me funcionaban como supiste como meterte en el ftp.

SOLID he intentado cambiar el orden de los FORM, pero la nag no se trata de un form, ya me contaras......

MINTAKA lo intentare y dire mis avances.

sois unos fieras

SALUDOS Y GRACIAS A TODOS POR VUESTRA AYUDA.

Eraser ya se como sacaste lo del ftp, el programa lo tiene en una linea de comando, para hacer la comprobacion de actualizaciones.
Sigo sin conseguir eliminar la nag, pues no encuentro la call que me indico MINTAKA, seguire traceando.

Saludos

Pues está por aquí:

1138DD37    8D55 DC         LEA EDX,DWORD PTR SS:[EBP-24]
1138DD3A    8945 E8         MOV DWORD PTR SS:[EBP-18],EAX
1138DD3D    52              PUSH EDX
1138DD3E    56              PUSH ESI
1138DD3F    FF91 C4000000   CALL DWORD PTR DS:[ECX+C4]       ; A LA NAG
1138DD45    68 89DD3811     PUSH AMLicenc.1138DD89
1138DD4A    EB 3C           JMP SHORT AMLicenc.1138DD88

Saludos,

Mintaka

MINTAKA gracias por tu gran ayuda, una pregunta para que me guies ¿como empezarias tu para buscarle el serial correcto? pues lo he intentado pero en memoria no hay nada solo el kiko malo.

GRACIAS GRACIAS Y MIL GRACIAS.

Me alegro que te hayan servido mis respuestas.
Lo del serial es harina de otro costal, y hay que invertir un tiempo extra para analizar a fondo el código de activación.
Yo lo que haría es seguir, a lo retro, desde que me lanza el cartel del chico malo.
Otras cosas que puedes intentar son:

1.-Eternizar el trial o sea que no te descuente dias.
2.-Simular que el programa está licenciado, activado o registrado.

Suerte,

Mintaka

Mintaka lo siento tener que darte el toston pero no consigo quitar la nag, una vez traceado hasta la direccion que me indicas lo NOPEO, pero al arrancarlo me da un error que se sale del programa, he seguido traceando y provando con la call siquiente al tracear a la nag pero todos con el mismo resultado y para detras no he querido hacerlo porque tu me indicabas que este era el punto.
Espero tu ayuda.
Gracias por tu ayuda desinteresada.

:-[

No lo e visto, pero capas que tengas que nopear esos dos push
que estan antes del call, ademas de este por supuesto..

1138DD3D    52              PUSH EDX
1138DD3E    56              PUSH ESI
1138DD3F    FF91 C4000000   CALL DWORD PTR DS:[ECX+C4]       ; A LA NAG

Suerte

GRACIAS TENA, por tu ayuda pero nopeando los push tambien dar el mismo error.
Se me ocurre una cosa en caso de que sea una de las nag mas dificiles y no se puede quitar la nag,  como se haria para que no dijese evaluación en la nag, he probado en ver la DLL con el dbg pero no veo nada y en el programa ninguna String.
Seguire provando.
Gracias de nuevo y saludos

Grrr y mira que te lo advertí:

Bueno, ya te darás cuenta de que no se puede eliminar de un plumazo.

A ver, ¿que te parece esta solucion?:

1138DD37    8D55 DC         LEA EDX,DWORD PTR SS:[EBP-24]
1138DD3A    8945 E8         MOV DWORD PTR SS:[EBP-18],EAX
1138DD3D    52              PUSH EDX               ;SUSTITUYE ESTOS DOS
1138DD3E    56              PUSH ESI                ;PUSH POR JMP 1138DD45
1138DD3F    FF91 C4000000   CALL DWORD PTR DS:[ECX+C4]       ; A LA NAG
1138DD45    68 89DD3811     PUSH AMLicenc.1138DD89
1138DD4A    EB 3C           JMP SHORT AMLicenc.1138DD88

Saluducos,

Mintaka

Cita de: Mintaka en 20 Febrero 2008, 20:19 PM
Grrr y mira que te lo advertí:

Bueno, ya te darás cuenta de que no se puede eliminar de un plumazo.

A ver, ¿que te parece esta solucion?:

1138DD37    8D55 DC         LEA EDX,DWORD PTR SS:[EBP-24]
1138DD3A    8945 E8         MOV DWORD PTR SS:[EBP-18],EAX
1138DD3D    52              PUSH EDX               ;SUSTITUYE ESTOS DOS
1138DD3E    56              PUSH ESI                ;PUSH POR JMP 1138DD45
1138DD3F    FF91 C4000000   CALL DWORD PTR DS:[ECX+C4]       ; A LA NAG
1138DD45    68 89DD3811     PUSH AMLicenc.1138DD89
1138DD4A    EB 3C           JMP SHORT AMLicenc.1138DD88

Saluducos,

Mintaka

Entonces lo de Nopear los push y el call era valido...

tena

Cita de: tena en 16 Febrero 2008, 14:01 PM
No lo e visto, pero capas que tengas que nopear esos dos push
que estan antes del call, ademas de este por supuesto..

Saludos
tena

Eres uno de los grandes, MINTAKA, te has convertido en uno de mis idolos, gracias, gracias y mil gracias por tu gran ayuda, sobretodo por no abandonarme en los momento en los que se me ponia cuesta arriba el tema.
De verdad no se como expresarme para decirte lo contento que estoy con mano divina.

GRACIAS DE NUEVO.
:D  ::)  ;D :rolleyes:  ;)  :laugh:

tena

Cita de: tena en 16 Febrero 2008, 14:01 PM
No lo e visto, pero capas que tengas que nopear esos dos push
que estan antes del call, ademas de este por supuesto..

Entonces lo de Nopear los push y el call era valido...

eso no era valido, se salia el programa con un error.

Saludos
Revolutions

Cita de: Revolutions en 22 Febrero 2008, 21:47 PM
Eres uno de los grandes, MINTAKA, te has convertido en uno de mis idolos, gracias, gracias y mil gracias por tu gran ayuda, sobretodo por no abandonarme en los momento en los que se me ponia cuesta arriba el tema.
De verdad no se como expresarme para decirte lo contento que estoy con mano divina.

¡¡ Déjate de ídolos y manda el jamón de una vez !!  ;D
Ahora en serio: Ayudar en lo que pueda me lo impuse cuando vi que me ayudaban cuando comencé con esto y necesité ayuda (incluso hoy).Espero que todo el mundo haga lo mismo.
Saludos,

Mintaka

Cita de: Mintaka en 24 Febrero 2008, 14:03 PM
¡¡ Déjate de ídolos y manda el jamón de una vez !!  ;D

No te creas que no soy agradecido, como no se de donde eres, aqui te lo mando

http://pincopallino.com.mx/catalogo/images/jamon_5j_full.jpg

hay para todos. jijijji..... :xD

ante todo tienes un amigo.

Mintaka te importaria explicarme como sacaste que era ese call y no otro, como averiguaste cual parchear, GRACIAS

Por supuesto que no me importa.
Lo conseguí "a lo retro", como en tantas y tantas ocasiones. ;D
A grandes rasgos esto es lo que hago:
Una vez sale la nag suelo poner un BP DestroyWindow  en el CommandBar  y acepto el mensaje de la nag.Olly se detiene en el inicio de esa API cuando va a borrar la ventana o nag y entonces es cuestión de ejecutar hasta los RETN con CTRL+F9, seguido de F7 hasta alcanzar el ejecutable (en este caso la dll).Normalmente me encuentro a la vuelta de un CALL y mirando hacia arriba en el código puedo "intuir cosas" (otros lo llaman ZEN).Pongo un BP con F2 en esa CALL.Restart y si cuando Olly para por ese BP, no ha salido la nag es que voy bien.Si la ejecuto y sale la nag ya sé la CALL que la provoca. :rolleyes:
Hago varias pruebas más para asegurar que es esa call y aplico el parche que creo conveniente.A partir de ahí saco conclusiones y escribo.
Salut,

Mintaka

Se agradece Mintaka...... :-\

SOIS LOS MEJORES MI PADRE TIENE UN BAR Y QUERIA ESTE PROGRAMA Y YA ME ESTABA ECHANDO EN CARA QUE ME HABIA PAGADO LOS ESTUDIOS DE INFORMATICA Y NO ERA CAPAZ DE PONERLE EL PROGRAMA.
POR CIERTO PARA QUITAR LOS 30 DIAS ME PODRIAIS DECIR COMO HACERLO GRACIAS

Shaddy te va a pegar  :-X jeje, por revivir post antiguos  :(, lee las normas http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html (http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html).

salu2

sorry

Cita de: AmeRiK@nO en 11 Enero 2009, 03:01 AM
Shaddy te va a pegar  :-X jeje, por revivir post antiguos  :(, lee las normas http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html (http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html).

salu2

jajajaja xDDDD. Gracias AmeRiK@nO.

Salu2...

P.D: Espera que voy a por los guantes.. xD.