Todo sea por la religión...

Iniciado por TymbuCai, 27 Junio 2005, 00:02 AM

0 Miembros y 2 Visitantes están viendo este tema.

TymbuCai

Buenas noches GURUS...


En primer lugar, y ante todo os  pido disculpa  por  ser algo  pesáo  ( "ojú", éste es mi tercer logro y, estoy empezando la "carrera", no vea tío? espero  que  lo comprendáis...

Pues bien, dicen que el hombre desciende del mono? Yo, particularmente no lo creo,pero tras mi último logro, (del que os boy a hablar a continuación), pues la verdad, ya "tengo mis dudas", os preguntareis por que? Pues muy fácil, ya que  el comportamiento que he tenido hasta  aquí, ha sido el mismo  que  tenía  AMEDIO; "limitarme a hacer lo que veía", cogía el tutorial y simplemente seguía los pasos, - no esta  mal  para un  macaco; tendré que ir a hacerme una prueba de ADN no vaya ser que tenga parientes en Gibraltar, http://www.solociencia.com/biologia/05051702.htm -  y yo sin saberlo; aunque  sí esta mal,  en un  animal  convencional  como  somos  nosotros verdad.
Bueno tampoco es  pa  ponerse así, también dicen que el hombre no escarmienta hasta que se da dos veces en la misma piedra  y, " yo no  me conformo, tengo que dar más de  tres tío".

Pero aquí estoy, y os digo que ahora es cuando me estoy  fijando más detenidamente, parándome en las Calls que no son dudosas, en las que si lo son, en los test, los MOV ECX, EBP etc; a la vez que  intento comprender mas, veo más detalles y me surgen mas preguntas y claro, en el tuto se va al grano y de lo demás hay escasa información y yo la verdad,  ahora  que boy comprendiendo algo, me gustaría aprender más de todas éstas...... PUSH  EAX,  MOV DWORD PTR DS:, etc. Por ejemplo: todos estos que resalto y que están entre una Call y otra; son las ordenes, movimientos, verificaciones, comparaciones  u salto, que manda  realizar -cada CALL-, no?

Call  unpecked.XXXXX
TEST  EAX,  EAX
JE  SHORT  unpacked.XXXXX
CMP  EBX, 4
JNB  SHORT  unpacked. XXXXX
MOV  DWORD  PTR  DS:  [XXXXX] , 1
LEA  EAX,  DWORD  PTR  SS:  [ESP+DC]
MOV  ECX,  EBP
PUSH  EAX
Call,xxxxxxxxxxx

Si es así, como pienso, qué ordenes se están ejecutando en la anterior CALL?

Existe alguna tabla, cuadrante o tuto que especifique la misión, función o labor que ejerzan  cada una? y si no:
hay entre ustedes, algún " GURUGURU, que durante su aprendizaje él mismo, se hiciera  una tabla así  como comento de éste tipo u me de alguna indicación en donde pueda encontrar información al respecto y pueda realizarla yo mismo¿?


Bueno, no me enrollo más que me conozco.    ;)

Os boy a introducir en, mi mundo, vuestro mundo, el nuestro, EL  MUNDO  DEL  MUNDO  FANTASTICO....

¡! Señoras y señores ¡! ¡! Niños; niñas ¡!  Pives  y,  pivas –weenass; (éstas por un tubo), que no falten tío... ;) ::) :P

                               !!!!!    PASEN Y VEAN    !!!!!

¡!  Comenzamos la función con... ¡! 

MagicTewear 2.40, el penúltimo "por no decir el último" de mi logro, "aunque me he tomado un corto descanso", me dispongo a seguir con el hermano gemelo del "pringao éste", la v. 2.90, que el chaval es ateo también,  y  como  nos   manda   nuestra conciencia; lo boy a convertir; que en este mundo andamos  múu  faltos de fe y de cristianos verdad?

Pues, comentar también esto:
Tras el penúltimo paso, empezamos a tracear en busca de la Call, donde colocaremos el último BP, pues bien, nos encontramos en el camino con  tres  Calls, igualmente  tan dudosas como la que andamos buscando, la que nos facilita el talonario de pases  para ¡! El Gran Circo ¡! observo  que las  tres,  tienen un  mismo número, "no  se  si  de identificación" ( unpacked. 0048F494 ), me gustaría saber  qué  relación  hay  o tienen  entre sí,  y  si  pudiera  ser  alguna   explicación  sobre la misión de cada una y sobre el pequeño salto que nos hace dar  independientemente.......

La 1ª sospechosa que me encuentro es:..........Call  446E08   unpacked. 00448F94
                                                                                            TEST   EAX,  EAX 
que  nos hace dar un  pequeño salto a :...........JNZ  SHORT  unpacked. 00446F00

La 2ª  no tardamos en encontrarla:................Call  446F34 
Que nos hace saltar a:.....................................446F5C     

La 3ª  sin andar mucho es:..........................Call  446F90
Que nos manda a:..........................................446Fb8               


Por favor, algún domador, trapecista, cómico, malabarista  confesor, exorcista, etc. etc. de éste fascinante mundo, si quisiera  dignarse en contestar  se lo agradecería de corazón al igual que con una gran sonrisa..........       


                                                               GRACIAS.   ;D

4rS3NI(

Buenas, no estoy muy seguro de saber qué estás preguntando (me lío con tus metáforas) pero lo intento

Cuando decís:

CitarPor ejemplo: todos estos que resalto y que están entre una Call y otra; son las ordenes, movimientos, verificaciones, comparaciones  u salto, que manda  realizar -cada CALL-, no?

La respuesta es no, cuando te encontrás en Call  unpecked.XXXXX si presionas F7 (en el caso de Olly); recién ingresas en esa call, es decir, te lleva a la dirección XXXXX en el módulo unpecked. Ahí vas a tener varias instrucciones propias de la call, y al llegar a una instrucción (Retn) y ejecutarla, vas a regresar a TEST  EAX,  EAX. Por ello, TEST  EAX,  EAX son las instrucciones siguientes a la Call, y no las instrucciones de esa Call.

00420C6E   MOV DWORD PTR DS:[457CB8],EAX
00420C73   SHL EAX,8
00420C76   ADD EAX,DWORD PTR DS:[457CBC]
00420C7C   MOV DWORD PTR DS:[457CB4],EAX
00420C81   CALL HWORKS32.00424A6F
00420C86   CALL HWORKS32.00423769
00420C8B   TEST EAX,EAX
00420C8D  JNZ SHORT HWORKS32.00420C99
00420C8F   PUSH 10


00424A6F   TEST BYTE PTR DS:[457CB1],80
00424A76   JE SHORT HWORKS32.00424A95
00424A78   CMP DWORD PTR DS:[457CB8],4
00424A7F   JNB SHORT HWORKS32.00424A95
00424A81   MOV DWORD PTR DS:[4589E4],4000
00424A8B   MOV DWORD PTR DS:[4589E8],1000000
00424A95   RETN


En el fragmento de codigo de arriba se ve, cuando llegamos a 00420C81 tenemos una Call, si entramos con F7, vamos a  00424A6F en el módulo HWORKS32, (programa que estoy debuggeando) que es a la direccion a la que apunta. Luego ejecuta todas las intrucciones hasta un Retn en 00424A95 y de ahi vuelve a 00420C86 (la call brillante siguiente a la en negrita  ;D).
Entonces cada call tiene una función propia distinta, imposible tabularlas, a no ser... que dicha call haga referencia a una api de win. En ese caso recurre al winapi

No se si fuí claro o si respondí a la pregunta.

Saludos

Ps: hay variantes para el regreso de una call, no solo el RETN, pero hay tutes que lo explican mejor que yo

pERICOTE

TumbyCai,  ;D que tal, como te va con el sodelscot estandar. Espero que bien, no permitas que venza el periodo de prueba, porque luego no habra crack que valga, a menos que ya seas un GURUGURU para snifear el serial.  ;) Con la practica te das cuenta que el cracking es un arte de resultados y no de discursos, sino preguntale a maestros como  4rS3NI(; en efecto, entender todo lo que quiere decir el codigo de un programa es realmente una tarea muchas veces no facil y eso hay que dejarselo a quienes tienen tiempo, acostumbrate a darte respuestas con los errores y seguir adelante, no pierdas tiempo si has logrado el objetivo, continua con programas que represeten mas reto. Ten presente que el traceo es la ejecucion paso a paso del programa. Me imagino que a estas alturas estas empapado de los tutoriales de raton y de makkakko, etc. que es lo minimo indispensable para muchas cosas sencillas.  ;D

TymbuCai

Que tal, 4rS3NI(       

                               CLARÍSIMO....




Lo has explicado perfectamente.


a).-   No corresponden.
b).-   La propia Call, nos señala el módulo y la dirección donde están sus  propias   instrucciones.
c).-   Una vez se ejecutan las instrucciones, a través de una variante (?), o un  Retn, volvemos a la siguiente instrucción  Call . TEST EAX,  EAX.

Viendo ésta forma de proceder, ocurre igual con cada instrucción?

Dices:  
            Entonces cada call tiene una función propia distinta, imposible tabularlas, a no ser... que dicha call haga referencia a una api de win. En ese caso recurre al winapi


Entonces, puede que éste sea el motivo por el cual, mientras treceo, me encuentro tres Calls sospechosas con la misma dirección y el mismo módulo, no?
Es más, mientras esto ocurre se va generando un interesante archivo  que es el: mgwin.ini, no?



Bueno, como gran amante del arte de la conversión; te quedo, eternamente agradecido "GURU" por tu clase teológica.

TutycontentYunhastasiempre,     4rS3NI(  ..............GRACIAS ;D




                        Puesto, aprovecho  este  mismo  para  contestarte    pRICOTE...



Que pasa pRICOTE,


Si, no me va mal, solo que todavía no llego a tanto, ahoramismo, ni esnifandome ni fumandome un mazo canutos, to junto,  paso de la (G) de GURU....
( no se, que boy ha hacer ), creo que estaba con V.B. y claro,  esto no lo he tocado todavía....

Te doy las gracias por tus observaciones y también te digo que pienso como tu, es más, soy totalmente un autodidacta, y  como comprenderás, (me gusta muchísimo más la practica que la teórica); aunque  la mucha practica, acompañada de un poco de teoría, también está muy bien.
No es que quiera memorizar todo esto del tirón tío, y máxime después de observar tu comentario ya que me doy cuenta de que deben de ser un gran mogollón y cantidad las instrucciones así como las instrucciones valga la redundancia de cada instrucción....
Esto, solo ha sido una duda surgida mientras convertía  al "pringao",  sencillamente por que cada vez veo más,
y observo cosas que antes no veía. Como habrás observado en mi contestación al GURU, 4rS3NI(;   -pues ha servido verdad-,  más  sabiduría  pa  la  mochila, y un mayor conocimiento del sistema inmunológico de los pringaitos. ;)
Así pues a medida que vaya progresando y surjan dudas, pues así mismo progresivamente iremos despejandolas...

(Es lo que te decía anteriormente);  que si tengo tutos?  Tutoriales,  de Karpoff, Ricardo,makkakko, el curso de ratón, un mogollón de crackmes  programas como la bestia, el W32Dams, Procdump,manual para torpes,  etc. etc.
Y tal mazo de links en agregados, "todo aquello que me parecía relacionado con éste mundo", punk,  pa  la  lista,  más de un mes con el  Googl. ( ya no recuerdo si me aparecía la palabra Google, o dos OjOs con dos peasos lagrimones del carajo...
Sabes una cosa?  Pues  si;  tan  solo  leí  varios  y  sobre  todo  uno pequeño sobre el funcionamiento de la "Olla Expres", en el cual  explicaba  por donde meterle mano al "pringao, el tiempo de cocción, así como parte de los condimentos pal potaje, la versa, el puchero... el choricito de jabugo, el peazo de jarrete, dos  manita de cerdo, un trozo weno de ternera, una cebolla grande, una cabeza de ajo, pimiento, pimentón, 1.1/2Kg calabaza ...Ojú tío que  calor, un montón me parece que estoy sudando;   por   donde   iba?...... Ya,  ojú,  me  quivocao,  se  me fue la Olla....



Weno, pRICOGURUGURU, que tú tas hecho un pirata weno tambié, ;D ;D ;D, nuevamente GRACIAS, tío...

4rS3NI(

Buenas

Cuando decis:

CitarEntonces, puede que éste sea el motivo por el cual, mientras treceo, me encuentro tres Calls sospechosas con la misma dirección y el mismo módulo, no?
Es más, mientras esto ocurre se va generando un interesante archivo  que es el: mgwin.ini, no?

Lo más probable es que el programa este usando los dígitos del serial (o de algún número) que introdujiste para generar el correcto y luego compararlo mediante métodos variados.

Suponiendo que en esa dirección a la que apuntan las calls tenes algún tipo de algoritmo de generación, lo que estaría haciendo el programa sería tomar un caracter y pasarlo por esas operaciones; escribir el resultado en el archivo mgwin.ini, pasar al otro caracter y hacer otra llamada al mismo algoritmo y así sucesivamente. Esto es una suposición ya que no he visto el programa :

Tomo 1º caracter
Call [algoritmo]
Tomo 2º Caracter
Call [algoritmo]
Tomo 3º Caracter
Call [algoritmo]

[algoritmo]
multiplico
divido
sumo2
Escribo en mgwin.ini
RETN


CitarViendo ésta forma de proceder, ocurre igual con cada instrucción?

Las calls te llevan a subrutinas en las que hay instrucciones que sí se encuentran "tabuladas" (test, cmp etc). Buscá en manuales de ensamblador

(jeje, yo meta "hablar" y quizás ya lo tenias cocinado  ;D)

Saludos

TymbuCai

Hola, 4rS3NI (



Supones muy bien, sin equivoco ninguno, y queda confirmado con estas palabras delTuto:
            ........, vemos como se carga el programa y   como  se   genera  un   archivo interesante que es el  mgwin.ini.  este contiene nuestros datos falsos....

Lo siento, a veces "tiro la bala y luego pongo el oJo". Pero a la par, te agradezco la explicación ya que ahora se como  el programa utiliza los dígitos y con tu ejemplo, como   operan  los  algoritmos de generación,  creando  el archivo  mgwin.ini. :)

Ya el último punto sobre las calls y subrutinas no estoy muy seguro de entenderlo; pero seguiré tu consejo.



4rS3NI (   .......de nuevo, agradecido por tu ayuda.




P/D:  dices:
                     (jeje, yo meta "hablar" y quizás ya lo tenias cocinado  ;D  )


Y yo, te digo:
                   
                      ( Que tas invitáo tío un platito bersa, :D ),jejeje