installshield timetrial SafeDisc 3.00.000 -> Macrovision

Iniciado por yako-_-, 8 Junio 2010, 21:13 PM

0 Miembros y 2 Visitantes están viendo este tema.

yako-_-

Buenas, alguien me puede dar un poco de infomación acerca de esta protección
no encuentro nada entendible de como desempacarla. ni tutos ni nada

SafeDisc 3.00.000 -> Macrovision


un saludo!
Para que vivir, pudiendo trabajar los Domingos

                                                                Yako-_-

LSL

Saludos.

LSL.

yako-_-

Hola LSL!!


Si por lo que e investigado es un trial de installshield, y mi pregunta es: ¿Como se guisa eso???

En peid me da eso pero es correcto que es un timetrial installshield

Pero no encuentro nada acerca de eso el link que me pasas lo estuve viendo y las aplicaciones nada y los tutos con el trraductor para mi son impracticable

Gracias de todos modos por la molestia

PD: A ver si alguien salto un timetrial de installshield que me pueda hechar una mano. Es que no se ni por donde empezar.

Para que vivir, pudiendo trabajar los Domingos

                                                                Yako-_-

yako-_-

Para que vivir, pudiendo trabajar los Domingos

                                                                Yako-_-

LSL

#4
Cita de: yako-_- en  9 Junio 2010, 00:13 AM
Encontre esto muy bueno por cierto: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1015-Cracking%20InstallShield%202008%20TryalWare%20en%205%20min%20by%20noukeys.pdf



Pero me desconecto de la red y el programa no me da la opcion de activar por email


un saludo

En este caso, es distinto pues no da opción a registrarte por ningun medio.

Así que le he dado un meneito en la batidora, he conseguido quitarle la protección y quedarme solo con el archivo exe desprotegido.

En principio ha sido muy facil, pero como no he encontrado ningun manual al respecto, Prometo manual.

Saludos.

LSL.

yako-_-

#5
Hola LSL!!

Cuando dices que le as quitao la protección te refieres a desempacarlo y en su defecto quedar sin el timetrial no??


Yo con el ollydbg sadow me dejo en un OEP para poder dumpearlo pero al reconstruir la IAT  me tiraba error de win de enviar o no enviar a microsoft.

LSL espero ese manual como agua de mayo. Si me puedes mandar un adelanto de lo que as hecho te lo agradeceria. Para ver como te buscaste la vida y aprender algo mas.

Un saludo !!

Edito

Ya vi uno de mis errores LSL el Safedisc con el que esta protejido es el  2.60.030 e descargardo un plugin para Olly con el que te busca el OEP + IAT pero no logro hacer que funcione (el plugin). Este es el plugin "SafeCast 2.60.30 OEP Finder + Fix IAT.txt"

Espero tu respuesta y tu manual  ;)

un Saludo!!!
Para que vivir, pudiendo trabajar los Domingos

                                                                Yako-_-

LSL

#6
El programa original se trata de un Visual Basic, empacado con el installshield de Macrovision, la misma empresa de SafeDisc. Además de confirmarlo con El RDG Packer, si con OllyDbg lo attach cuando corre, con Alt-E (en los módulos ejecutables) ves que utiliza la librería MSVBVM60 clásica de VB.

Si recuerdas las palabras citadas no hace mucho en el tema de otro packer, por el "maestro" MCKSys Argentina: "La cosa se hace fácil, porque en todo VB6 el OEP es siempre de la misma forma: PUSH y CALL ThunRTMain..."

Así que podemos tratarlo como cualquier otro VB empacado, y buscarle su OEP clásico, desde el que dumpear.

Yo lo que he hecho, con esa idea inicial de encontrarle el OEP de VB, e improvisando por mi cuenta, fue attacharlo cuando estaba parado en la ventana del trial con los días de uso.
Una vez attachado con Olly, pulsas en run ó F9 para que siga corriendo el programa sobre el que hemos tomado el control, después me fui con Alt+M al "memory map", y observando las distintas secciones del programa, me pareció interesante la Sección "stxt371" identificada con el contenido de "code,imports", por lo que le puse un "set memory breakpoint on access" sobre dicha sección para que se detenga al leer el código de funciones importadas, pensando en las funciones del programa ajenas a las del installshield.

Volví al programa y pulse sobre el botón continuar que era el de finalizar, para terminar la capa de protección del installshield, y a continuación como estamos dentro del periodo del trial se ejecuta el programa original desempacado, y es entonces cuando al entrar en la sección de "code,imports", el OllyDbg hace la ruptura al leer de la sección, pero en la barra de titulo del Olly vemos que no estamos todavia en el modulo principal del programa, así que vamos dando F9 hasta que veamos en el titulo que estamos en el modulo con el nombre del ejecutable principal, a partir de aquí continúe traceando unas cuantas líneas con F8, hasta caer en el OEP clásico de VB que antes comentaba, el cual reconocí nada mas verlo "PUSH y CALL ThunRTMain" y si miras unas líneas mas arriba tienes la tabla de importaciones de la librería MSVBVM60; ya solo hacer el dump (en ese momento no tenia instalado el plugin de ollydump), por lo que utilicé el LordPE con su modo inteligente, y para arreglar la IAT con el ImportREC, y sin problemas al correr el dumpeado.

Esta fue mi forma de llegar al OEP de forma un poco improvisada, pero reconozco que la mejor forma para llegar al OEP de un VB es la del manual de MCKSys, no obstante pongo la que yo utilicé, por si es útil cuando el programa original no esté hecho en VB.

Cita de: MCKSys Argentina en 18 Mayo 2010, 23:24 PM

Para obtener un desempacado "casi" completo:

1) Abrir el EXE en Olly y en el EP hacer ALT+E para ir al listado de módulos.
2) De la lista seleccionar MSVBVM60.DLL y hacer doble-click para saltar al modulo.
3) Hacer CTRL+G y poner "ThunRTMain" (sin las comillas). En la dirección donde queda Olly, poner un BP con F2.
4) Ejecutar con F9 y cuando para en nuestro BP, colocarse sobre el primer valor de la pila y darle ENTER.
5) De la dirección que aparece en la ventana de CPU, escrolar 2 instrucciones hacia arriba (hasta el PUSH o mejor dicho, hasta 4070C8). Ese es nuestro OEP. Reconocemos que es el OEP de un programa hecho en VB6.
6) Colocar un HBP en esa dirección y hacer CTRL+F9 para reiniciar el programa.
7) Cuando reinicia, hacer ejecutar con F9 y cuando para en el HBP, dumpear con OllyDump y reconstruir IAT con ImpRec.



Saludos.

LSL.

yako-_-

#7
LSL eres un crack!!!

Yo no fui capaz de reconstruir la IAT con exito o eso o es que no lo dumpee en el OEP original.  

 
Probé con tu técnica y con la de Argentina pero no puedo con ninguna de las dos ya que me venció el periodo de prueba y no me deja avanzar el olly me saca el Terminated. Con el método de MCKsys y con el tuyo no puedo por lo que te dije antes
que se me termino el periodo de prueba y no avanzo, si ago el Athach tambien me termina.

Le falta mucho a ese manual con sus capturas?? ya tengo ganas de leerlo  :rolleyes:

Gracias un saludo!!
Para que vivir, pudiendo trabajar los Domingos

                                                                Yako-_-

ganstarflowconsul

a ver tengo aun el problema ejejeejeje como es que usaron una pregunta mia de ejemplo aver si mal no recuerdo lei una parte de unos tutos de por hay y ese que me pasaron en realidad si es safe disck porque el peid lo detecta lo que tienes que hacer es encontrar el dll que impide que se ejecute la aplicacion se crea con un nombre aleatorio aunque la mayor posivilidad es que este en la carpeta temp se tiene que parachar ese dll para que deje correr la aplicacion he intenl}tado parchar ese exe principal pero al momento de modificarlo sale error consegi sacar ese maldito mendaje pero sale error y no se ejecuta usa el pluginphantom para ocultar el olly segun lo que he avansado nopeando un push ebp y se borra pero no se mas que hacer si lo concigues mandame un tuto de como lo isiste

LSL

Aqui mi primer tutorial para newbie, de como eliminar el sistema trial-ware
del instalador installshield, a un archivo programado en Visual Basic.  :rolleyes:


http://www.myupload.dk/showfile/5445092b508.rar/


Saludos.


LSL.

Saludos.

LSL.