He abierto este programa con el resource hacker, he cambiado solo un dato para ver como se comportaba, lo he compilado... y al ejecutarlo me sale esto.
Tambien otra cosa, le he pasado el rdg packer detector... echo en borland delphi 6 o 7, y empacado con telock, he bajado un desempacador de telock, y el .exe pasa de 1.5m el original a 5.5, al intentar ejecutar el desempacado sin olly y debugeando con olly no arranca me da fallos en direcciones de memoria, el original empacado va bien con y sin olly, agradeceria cualquier ayuda.
Y si lo desempacas a mano, te sale el mismo mensaje?
Saludos!
Cómo puedes ver en el ejecutable tiene una comprobación CRC, puede ser por el tamaño del ejecutable, comprobación checksum, etc, para ello debes encontrar la bifurcación entre el original y el modificado, saludos.
el mensaje no es por desempacarlo es por modificar datos con recource hacker y compilarlo, por desempacarlo no va ni solo ni con olly.
Alguna idea para empezar a buscar esa bifurcacion de la comprobacion CRC q hace?
Cita de: manakagruya en 13 Diciembre 2013, 13:17 PM
el mensaje no es por desempacarlo es por modificar datos con recource hacker y compilarlo, por desempacarlo no va ni solo ni con olly.
Alguna idea para empezar a buscar esa bifurcacion de la comprobacion CRC q hace?
Si tiene un packer, es logico que tenga comprobacion de codigo/datos; por eso la idea es desempacarlo para hacer cambios en la sección de recursos.
Ahora, si la herramienta que usas desempaca
mal telock, el exe no te funciona. Por eso te pregunte si lo habias hecho "a mano".
De todas formas, usando el buscador de la web de ricardo y poniendo "telock" (sin las comillas), te saldran varios tutoriales sobre este packer.
Buscador de la Web de ricardo: http://ricardonarvaja.info/WEB/buscador.php (http://ricardonarvaja.info/WEB/buscador.php)
Saludos!
PD: Se puede saber qué programa estás intentando modificar?
Es un editor de nba 2k14, un ruso lo cobra el tio ademas bien caro, desde el 2k10, empeze a intentarlo hace años, cursos de ricardo, de caos reptante, pero desisti.. ahora he vuelto a intentarlo
q me recomiendas para desemapacar el telock? en su dia intente varias cosas pero nada
Cita de: manakagruya en 13 Diciembre 2013, 16:48 PM
q me recomiendas para desemapacar el telock? en su dia intente varias cosas pero nada
Los tutoriales que te mencioné en el post anterior...
Saludos!
estan todos los enlaces mal, pero muchas gracias, creo q en su dia los intente pero nada...
he probado otra cosa... y el mensaje cambia,
1ºlo desempaque con un desempacador q baje googleando, y me daba el mensaje del titulo.
2º con el winhex he comparado el original con el desempacado, y en los primero bloques cambian varios datos hexadecimales, he copiado solo los que cambian del original al desempacado y este es el mensaje q sale ahora....
SOLO SE COMPLETO UNA PARTE DE UNA PETICION READPROCESSMEMORY o WRITE PROCESS MEMORY... Siento q esto avanza porq cambia la cosa,
Cita de: manakagruya en 13 Diciembre 2013, 17:24 PM
estan todos los enlaces mal
Los enlaces que devuelve el buscador me funcionan perfectamente... :huh:
Cita de: manakagruya en 13 Diciembre 2013, 17:24 PM
he probado otra cosa... y el mensaje cambia,
1ºlo desempaque con un desempacador q baje googleando, y me daba el mensaje del titulo.
2º con el winhex he comparado el original con el desempacado, y en los primero bloques cambian varios datos hexadecimales, he copiado solo los que cambian del original al desempacado y este es el mensaje q sale ahora....
SOLO SE COMPLETO UNA PARTE DE UNA PETICION READPROCESSMEMORY o WRITE PROCESS MEMORY... Siento q esto avanza porq cambia la cosa,
Bueno, despues de esto te recomiendo leer el FAQ (http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html) del foro. Ahi encontraras un enlace para bajar el curso de ricardo narvaja, el cual deberias terminar.
En Ing. Inversa
no hay soluciones magicas. Debes esforzarte...
Saludos!
PD: Solo para aclararte: Haz hecho un diff entre el header de un exe empacado y el supuesto desempacado. Es logico que sean distintos.
Y luego, copiar los bytes sin saber que representa cada uno, no es algo recomendable. Obtendras cualquier cosa, excepto un ejecutable funcional...
Necesitas leer y aprender sobre el tema. En estas cosas no hay escapatorias...
Efectivamente, te recomiendo que realices un unpack de forma manual, con esto podrías evadir la protección de chequeo de CRC, pero no necesariamente el causante puede ser el packer, quizás puede ser el mismo programa que realiza la comprobación, si es así, estás obligado a desempaquetar, para luego comenzar a editar el código, pero debes ir por parte:
- Unpack del programa (toda la teoría de unpack).
- Si vez que luego del unpack sigue el error de CRC, hay dos causas posibles:
Quedó algún dumpleado del packer en donde se realiza algún tipo de comprobación CRC, o el ejecutable "original" (unpack) verifica la integridad del ejecutable, aunque esto lo veo más difícil, ya que no sabría como generar un checksum sin saber el valor final de el, olvídalo.
Saludos y suerte
Muchas gracias por todo, solo entro para ver las ideas, el finde estoy con mis sobrinos y la novia y no tengo tiempo, pero deseando de que llegue lunes.
Otra cosa las claves son cadenas larguisimas, creo q voy a priorizar el objetivo, q sera intentar encontrar donde ve el serial y lo compara y saltarlo.
Tienes dos caminos para la solución (son nombres que les doy yo, es para que te guíes):
- El método ordinario (modificar saltos).
- El método elegante (reversear el ejecutable, entender el algoritmo de validación).
Ambos cumplen la finalidad, a mi criterio hay que utilizar el método de acuerdo a la facilidad de entendimiento del código, tiempo, si el programa es de suma importancia, etc.
En fin la idea es creackear para divertirse :)
Buuffff, crackear este pogramilla no es para newbies, para lo poco que entiendo... me basta para saber que este es para profesionales.
He probado todo lo que me habeis dicho, he seguido al pie de la letra muchos manuales, para desempacar manualmente, nopear saltos...
lo ultimo a sido probar con EXCPHOOK pero cuando lo ejecuto sobre RED_MC(el programa que quiero crackear), se queda completamente colgado el ordenador.
Este tio es ruso, ukraniano... no se, del este, y sabe lo que hace, da la sensacion al ir debugeando y viendo codigo.
http://www.mediafire.com/download/r2vr4rqrtls4u2c/setup_RED_MC_v.2.1.0.2.exe.
Os dejo un enlace para descargar el programa si os enrollarais y le echais un ojo, desde luego os vais a entretener
la peticion de cracks está prohibida
muestra tus avances, oep, iat, script usados, que has hecho?
donde crees que está el crc check, usando firmas de ida o bien otras herramientas criptográficas
honestamente es pérdida de tiempo cuando veo que hablan como profesionales y no hacen nada.
por otro lado si quisieran realmente avanzar lo primero es esto
1) desempacar el packer y reparar correctamente las apis
2) quitar protección antidebug que posee el programa
3) registrar a partir de bp según se estime necesario
pd:yo fui capaz de desempacar, matar el antidebug, pero ni aún asi, no tengo idea para que sirve el programa, asi que mas allá no llegaré xD