Programa con net reactor

Iniciado por TruenoCaos, 17 Enero 2012, 23:35 PM

0 Miembros y 2 Visitantes están viendo este tema.

TruenoCaos

Buenos dias

Desde no hace mucho estoy a empezando a intentar crackear algunas programas y me he encontrado con uno enpaketado en net reactor 3.x y estoy muy perdido

he encontrado
http://foro.elhacker.net/ingenieria_inversa/problema_con_unpack_net_reactor_3980-t335893.0.html

pero no consigo debugearlo ya he cambiado las excepciones en las opciones pero me sale este error


Message=Debugged program was unable to process exception
Message=Module C:\Windows\syswow64\MSCTF.dll
Message=Process terminated, exit code 4000001E (1073741854.)

y no consigo solucionarlo de ninguna manera, no se si tiene algo que ver que sea 64 bits

Aun asi consegui guardar el programa cargado desde la ram a un archivo, pero son mas de 40 mb lo que se me ha guardado (el programa original ocupa 1 mb + algunos archivos de datos) y estan bien creadas la RVA y su tamaño pero el programa no se ejecuta correctamente (se abre una terminal y me dice que el programa dejo de responder no me da ni codigo de error) y si intento debugear el nuevo programa se me termina en el mismo punto que el original.

Muchas gracias por leer y a ver si me podeis aconsejar

.:UND3R:.

Este tutorial lo encontré hace un tiempo lo subo a megaupload para ver si te sirve, en cuanto al packer es para .net si no me he olvidado, posee un gran defecto y es que en memoria queda completamente desempaquetado y es posible ser dumpeado para más detalles el tutorial subido:

http://www.megaupload.com/?d=7L61I5KF

No es mío

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

TruenoCaos

Ese es el tutorial que he seguido, pero el video que esta en el otro post que puse antes, es el mismo, pero el error que me da es algo que no entiendo por que puede ser, ademas me lo da exactamente el mismo en el crackme que en el programa que quiero modificar

.:UND3R:.

Siguiendo ese tutorial no se lograba desempaquetar inclusive siguiéndolo al pie de la letra, por lo que investigando por cuenta propia noté que al dumpear el PE Header es distinto al original, en mi caso ocurrió lo siguiente:

http://foro.elhacker.net/empty-t335893.0.html

Prueba corroborando los datos de la cabecera original con el ejecutable desempaquetado.

Otra opción puede ser una comprobación de integridad CRC, MD5, Checksum del ejecutable por lo que deberías encontrar bifurcaciones sospechosas. podrías verificar el error y verificar como actúa el original en tal address si es que accede a el, en caso contrario estás enfrente de una bifurcación por no coincidir la comprobación de integridad, Otra opción puede ser el peso, este puede poseer un tope máximo de peso que si se sobre pasa no permite que se inicie el ejecutable, para ello intenta ir llenando con ceros el ejecutable al final del código sube de 1000 en 1000 bytes con un editor hexadecimal. Ej ultraedit si el programa no arranca posee comprobación de tamaño, otro método es modificar el nombre de las secciones del ejecutable.

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

TruenoCaos

#4
vale ya consegui solucionar el error que me daba antes y avance un poco pero el problema que tengo ahora es que si tengo el ida o olly abiertos si abro el programa se cierra rapidamente asi que supongo que detecta que hay un desensamblador pero mi duda es como lo detecta por que el codigo del programa es muy raro y no se exactamente que buscar.
muchas gracias

edit:
intente copiarlo desde la memoria con un programa que viene con el cff explorer pero solo me copia el modulo del programa no me compia los dlls y el programa me da una violacion de segmento al ejecutar el dll (el dump es de 200k y el programa 1.2m esto es normal?)

.:UND3R:.

Podrías comentar como ha ha funcionado (solucionado) el desempaquetado.

En cuanto a la detección por manera automática podrías utilizar plugins y modificar el nombre del ejectuable el title y class del debugger o de manera manual tracear y hasta encontrar la manera en que detecta algún depurador en ejecución

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

TruenoCaos

Perdon por no haber contestado antes, estaba un poco liado, por ahora lo que he conseguido es ejecutar el programa con un plugin del IDA que me proteje del antidebugger, pero el problema que tengo es que no consigo localizar donde esta lo que deseo cambiar.

El programa se carga y despues te deja la opcion de logearte y comprueba tu cuenta con su servedor, pero no consigo localizar donde esta eso.

Ademas despues de cargarse no hay ningun segmento que pertenezca al programa y todas las acciones no se suelen salir del ntdll.dll asi que estoy muy perdido, por que no se en que codigo fijarme ni tampoco de que hacer un dump, (ni como hacerlo con el IDA)

En el momento en el que (creo yo) que se realiza la conexion con el servidor y se determina si la cuenta es correcta hay 68 modulos y 16 threads

Estoy muy perdido xD

.:UND3R:.

para activaciones en Internet, intenta dejar algún firewall en "ASK" estando detenido el programa, intentando realizar un conexión con el servidor, presiona pausar en el debugger y luego permite la conexión, y si te fijas en el DUMP podría haber información muy útil.

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

TruenoCaos

Todavia no he conseguido localizarlo, me pierdo con todos los hilos, aun asi tengo algunas preguntas:

- si lo encuentro como hago el que sea permanente el cambio? por que todo se esta realizando en los segmentos de librerias o de debugger?

- hay posibilidad de con el debbugger del IDA poner un breakpoint en todo un segmento ( que se pare el programa en cuanto un hilo se mente en el segmento de System.web) ?

- que tecnica utilizan los programas para saber que programa lo ha ejecutado? creo recordar que habia una referencia en el psp del programa pero no se si es eso lo que se utiliza normalmente

- si hay algun programa o plugin para el IDA que compare dos archivos y muesre sus diferencias, por que hay un programa que crakee hace tiempo y estan sacando nuevas versiones y me gustaria poder tener un poco mas de facilidad para acordarme de que hize antes

Muchas gracias por la ayuda