Programa "sencillo" y serial...

Iniciado por Eleкtro, 14 Septiembre 2017, 13:02 PM

0 Miembros y 4 Visitantes están viendo este tema.

apuromafo CLS

#10
paso 1:
regedit en la rama, (renombre la principal a apuromafo)
luego probe denuevo el programa, y al parecer es que funciona mejor en el packed

pero si o si debe tener sus 2 ramas de regedit
aqui en mi pc me esta funcionando todo operativo (sobre el packed)
espero te sirva en el tuyo
http://rgho.st/6pDNmpLz8


Eleкtro

@apuromafo

¡Magnífico!, has hecho que parezca tan facil...

MUCHAS GRACIAS, funciona a la perfección... o al menos eso es lo que parece por el momento.








apuromafo CLS

Cita de: n1sen en  8 Octubre 2017, 19:13 PM
El software que intentas usar, el cual es FileTooLong, es Adware, lo instale y me instalo virus por todas partes, por suerte alcanse ha aislar el pc del internet.
Pero yo nunca me he topado con archivos con nombres tan largos...
eso es otro nombre xD, estas confundiendo la herramienta con lo que ha presentado, al depurar no se ve ninguna forma maliciosa de trabajar


...por otro lado una vez que uno accede a la rama de regedit y se renombra desde "regedit no se puede eliminar" , busqué varias formas, la mejor seria esta herramienta gratuita
http://registry-finder.com/  vamos a la rama a eliminar , colocas eliminar y listo, se elimina sin problema

el tema debe ir en el "flag" , normalmente hay ramas de regedit que se pueden virtualizar inclusive, asi que asumo que el autor lo ha hecho intencionalmente para evitar que le quitaramos el trial ? bueno, sea como sea, funciona por el minuto

instrucciones hechas para hacer un resumen
0 tenemos un programa que si no  se registra el programa, los botones de la interfáz de usuario se deshabilitan, y los nodos del treeview también. En resumen, que no se puede usar ninguna funcionalidad del programa.
1) ingresamos usuario y serial valido de 3 dias..e intentamos analizar todo lo que parezca llamativo (creacion de ramas, acceso a regedit entre otros)
se logra ver hay muchas send... y valores entre 0 y 1, valores a comparar en cada segmento, asi que aburrido de mirarlo, elegi las peores condiciones

2) expired y no funcional: elimine la rama de regedit que tenia la rama, el programa sigue siendo trial

3)  sobre el programa desempacado buscamos tantas referencias del trial como podemos,vemos una cantidad de saltos necesarios (al menos 4),  llegamos al dword que apuntamos  60FA4C  y buscamos todas las referencias, y el lugar mas vulnerable era ecx
0056E808 | A1 4C FA 60 00            | mov eax, dword ptr ds:[0x60FA4C]                                  |
0056E80D | 41                        | inc ecx                                                           | apuromafo
0056E80E | 90                        | nop                                                               |

el valor nuevo en bytes es 41 90 , dado que toda escritura es al revez desde el depurador es mov word (tamaño de 2 bytes), y los bytes 9041

cuando salta al oep (packed) es asi:
jmp 0x54e4a2

la nueva instruccion quedó asi en el packed:
00690ABC  mov word ptr ds:[0x56E80D], 0x9041     
00690AC5   jmp 0x54E4A2       

eso fue todo, programa ha quedado parcialmente operativo ?, aun no se si hay mas cosas

Saludos Apuromafo