Integrity check failed! This file has been modified. Reason might be a possible.

manakagruya · 13 Diciembre 2013, 00:10 AM

He abierto este programa con el resource hacker, he cambiado solo un dato para ver como se comportaba, lo he compilado... y al ejecutarlo me sale esto.

Tambien otra cosa, le he pasado el rdg packer detector... echo en borland delphi 6 o 7, y empacado con telock, he bajado un desempacador de telock, y el .exe pasa de 1.5m el original a 5.5, al intentar ejecutar el desempacado sin olly y debugeando con olly no arranca me da fallos en direcciones de memoria, el original empacado va bien con y sin olly, agradeceria cualquier ayuda.

MCKSys Argentina · 13 Diciembre 2013, 01:29 AM

Y si lo desempacas a mano, te sale el mismo mensaje?

Saludos!

.:UND3R:. · 13 Diciembre 2013, 02:18 AM

Cómo puedes ver en el ejecutable tiene una comprobación CRC, puede ser por el tamaño del ejecutable, comprobación checksum, etc, para ello debes encontrar la bifurcación entre el original y el modificado, saludos.

manakagruya · 13 Diciembre 2013, 13:17 PM

el mensaje no es por desempacarlo es por modificar datos con recource hacker y compilarlo, por desempacarlo no va ni solo ni con olly.

Alguna idea para empezar a buscar esa bifurcacion de la comprobacion CRC q hace?

MCKSys Argentina · 13 Diciembre 2013, 16:25 PM

Cita de: manakagruya en 13 Diciembre 2013, 13:17 PM
el mensaje no es por desempacarlo es por modificar datos con recource hacker y compilarlo, por desempacarlo no va ni solo ni con olly.

Alguna idea para empezar a buscar esa bifurcacion de la comprobacion CRC q hace?

Si tiene un packer, es logico que tenga comprobacion de codigo/datos; por eso la idea es desempacarlo para hacer cambios en la sección de recursos.

Ahora, si la herramienta que usas desempaca mal telock, el exe no te funciona. Por eso te pregunte si lo habias hecho "a mano".

De todas formas, usando el buscador de la web de ricardo y poniendo "telock" (sin las comillas), te saldran varios tutoriales sobre este packer.

Buscador de la Web de ricardo: http://ricardonarvaja.info/WEB/buscador.php

Saludos!

PD: Se puede saber qué programa estás intentando modificar?

manakagruya · 13 Diciembre 2013, 16:48 PM

Es un editor de nba 2k14, un ruso lo cobra el tio ademas bien caro, desde el 2k10, empeze a intentarlo hace años, cursos de ricardo, de caos reptante, pero desisti.. ahora he vuelto a intentarlo
q me recomiendas para desemapacar el telock? en su dia intente varias cosas pero nada

MCKSys Argentina · 13 Diciembre 2013, 16:56 PM

Cita de: manakagruya en 13 Diciembre 2013, 16:48 PM
q me recomiendas para desemapacar el telock? en su dia intente varias cosas pero nada

Los tutoriales que te mencioné en el post anterior...

Saludos!

manakagruya · 13 Diciembre 2013, 17:24 PM

estan todos los enlaces mal, pero muchas gracias, creo q en su dia los intente pero nada...
he probado otra cosa... y el mensaje cambia,
1ºlo desempaque con un desempacador q baje googleando, y me daba el mensaje del titulo.
2º con el winhex he comparado el original con el desempacado, y en los primero bloques cambian varios datos hexadecimales, he copiado solo los que cambian del original al desempacado y este es el mensaje q sale ahora....

SOLO SE COMPLETO UNA PARTE DE UNA PETICION READPROCESSMEMORY o WRITE PROCESS MEMORY... Siento q esto avanza porq cambia la cosa,

MCKSys Argentina · 13 Diciembre 2013, 19:26 PM

Cita de: manakagruya en 13 Diciembre 2013, 17:24 PM
estan todos los enlaces mal

Los enlaces que devuelve el buscador me funcionan perfectamente...

Cita de: manakagruya en 13 Diciembre 2013, 17:24 PM
he probado otra cosa... y el mensaje cambia,
1ºlo desempaque con un desempacador q baje googleando, y me daba el mensaje del titulo.
2º con el winhex he comparado el original con el desempacado, y en los primero bloques cambian varios datos hexadecimales, he copiado solo los que cambian del original al desempacado y este es el mensaje q sale ahora....

SOLO SE COMPLETO UNA PARTE DE UNA PETICION READPROCESSMEMORY o WRITE PROCESS MEMORY... Siento q esto avanza porq cambia la cosa,

Bueno, despues de esto te recomiendo leer el FAQ del foro. Ahi encontraras un enlace para bajar el curso de ricardo narvaja, el cual deberias terminar.

En Ing. Inversa no hay soluciones magicas. Debes esforzarte...

Saludos!

PD: Solo para aclararte: Haz hecho un diff entre el header de un exe empacado y el supuesto desempacado. Es logico que sean distintos.

Y luego, copiar los bytes sin saber que representa cada uno, no es algo recomendable. Obtendras cualquier cosa, excepto un ejecutable funcional...

Necesitas leer y aprender sobre el tema. En estas cosas no hay escapatorias...

.:UND3R:. · 14 Diciembre 2013, 01:44 AM

Efectivamente, te recomiendo que realices un unpack de forma manual, con esto podrías evadir la protección de chequeo de CRC, pero no necesariamente el causante puede ser el packer, quizás puede ser el mismo programa que realiza la comprobación, si es así, estás obligado a desempaquetar, para luego comenzar a editar el código, pero debes ir por parte:
- Unpack del programa (toda la teoría de unpack).
- Si vez que luego del unpack sigue el error de CRC, hay dos causas posibles:
Quedó algún dumpleado del packer en donde se realiza algún tipo de comprobación CRC, o el ejecutable "original" (unpack) verifica la integridad del ejecutable, aunque esto lo veo más difícil, ya que no sabría como generar un checksum sin saber el valor final de el, olvídalo.

Saludos y suerte