fm12

Iniciado por Potato, 22 Mayo 2012, 18:55 PM

0 Miembros y 1 Visitante están viendo este tema.

Potato

hola a todos, abro este post para conjuntar todo lo que se de mi juego Fifamanager12= fm12 jeje. He ir haciendo preguntas en cuestion de mis avances, hoy he conseguido otro, y estoy contento antes lo veia pero no hacia caso porque funcionaba pero como estoy repasando apuntes y aprendiendo del nuevo curso de RN  he visto esto "Seria mas efectivo continuar de la siguiente manera.              Continuar la ejecucion del programa el cracker no debera sospechar que lo hemos detectado"  Pues claro a un pipiolo como yo pues te la dan y te la comes...... y mira que tengo delante terminated process y en el LOG  Hide Debugger <Failed to apply protection against TerminateProcess>


o sea que me pilla, o creo que me pilla jejeje  Ahora mismo estoy revisando todos los metodos que salen en el curso de introduccion pero me parece que esto es superior al curso jeje. Asi que si me podeis orientar un poquillo os lo agradeceria de verdad.


Saludoa!!!!!!!!!

apuromafo CLS

muchas veces uno suele bajar StrongOD (desde tuts4you ) y luego el tema es aplicarlo como plugin, existen decenas de antidebuggers inclusive aun mas detecciones custom, pero luego hay 2 detalles

1) lo que ves esta sin ejecutar
2) lo que ves esta luego de haber sido ejecutado

1) si esta sin ejecutar podrias parchar directamente
2) si esta ejecutado debe ser inline, o saber mas o menos de donde se descomprimió, aqui juegan muchas variables


digamos esto
mov eax,isdebugged
cmp eax,estadectado
je @terminateprocess
no soy detectado
ret
@terminateprocess:
soy detectado
ret

aveces lo que uno hace es o alterar el salto(no vaya a terminateproces
o bien desde el mismo terminate proces, colocarle un retorno(peligroso) o salto al lugar bueno(lo mas comun a hacer)





Potato

#2
Si te he entendido bien depende de si esta ejecutado o no, yo creo que no (lo que digo a partir de ahora son puras suposiciones) porqued el programa empieza con muy pocas apis y si doy run aparecen millones y porsupuesto se ejecuta el programa, no se si se sabe por eso..... pero bueno y fijandome en la tercera linea hay un mov eax,1000 sospechoso no??


bueno voy a colgar una foto por que yo veo algo sospechoso es el exitcode ffffffff-1


a ver si se anima alguien a postear!!



Potato

#3
me estoy volviendo loco tratando de subir la foto Puffff jeje

oye no se los motivos pero no me deja he probado todas las opciones 4 veces y de mil maneras..... lo intentare mañana again!!!

http://img406.imageshack.us/img406/4374/screenshot002ze.jpg


bueno despues de millones de pruebas dejo este enlace.....  el Entry Point es el que sale y luego esta ese push -1 que es rarisimo jeje

un saludo compañeros.....





Siguiendo con mis investiaciones en el curso de olly desde cero de RN he sacado esto "por supuesto hay algunos protectores como execryptor que son campeones de la detección de OLLYDBG y además de todos los trucos que enseñamos aquí, añaden 4 o 5 mas de su propia cosecha"  o sea que me temo que estoy ante un Execryptor madre mia jaja