Trial verison...(Regmon)

B@RTY · 10 Julio 2007, 03:11 AM

Hola,
tengo un programilla el qual deja unos pocos dias de evaluacion,
no encuentro cracks, i tampoko me interesa mucho el encontrarlo,

Tengo entendido que borrando cierto registro, el perido de evaluacion se anula,
Explicare brevemente lo que e leido en un tutorial y haber si me podeis ayudar ya que me pierdo un poco:

lo primero que dice es bajarse el "Regmon"
i azerlo funcionar,
una vez echo esto arrancamos el programa a crackear y detenemos la busqueda con el Regmon

Llegado este punto el tutorial dice que devemos abrir el "regedit"
acontinuacion buscar los "binari keys" del programa a crackear i posteriormente eliminarlos.
pareze facil...
pero la cantidad de registros relacionados con el proceso es enorme i soy incapaz de encontralo...

pues aqui queda la pregunta..
me e enrollado un poco por la cuestion de que no quiero crackear el programa simplemente, si no que me gustaria entender un poco los registros que se crean y todo esto...

gracias por adelantado

salu2

Shaddy · 10 Julio 2007, 08:41 AM

Cita de: B@RTY en 10 Julio 2007, 03:11 AM
Hola,
tengo un programilla el qual deja unos pocos dias de evaluacion,
no encuentro cracks, i tampoko me interesa mucho el encontrarlo,

Tengo entendido que borrando cierto registro, el perido de evaluacion se anula,
Explicare brevemente lo que e leido en un tutorial y haber si me podeis ayudar ya que me pierdo un poco:

lo primero que dice es bajarse el "Regmon"
i azerlo funcionar,
una vez echo esto arrancamos el programa a crackear y detenemos la busqueda con el Regmon

Llegado este punto el tutorial dice que devemos abrir el "regedit"
acontinuacion buscar los "binari keys" del programa a crackear i posteriormente eliminarlos.
pareze facil...
pero la cantidad de registros relacionados con el proceso es enorme i soy incapaz de encontralo...

pues aqui queda la pregunta..
me e enrollado un poco por la cuestion de que no quiero crackear el programa simplemente, si no que me gustaria entender un poco los registros que se crean y todo esto...

gracias por adelantado

salu2

lo primero que tienes que hacer es analizarlo, por ejemplo con RDG Packer Detector v0.6.5, y luego nos dices que clase de compilador / protección utiliza y lo abres posteriormente con:

http://shaddy.co.nr/OllyDBG.rar

y ahi es donde empieza todo

.

Salu2..

B@RTY · 10 Julio 2007, 13:03 PM

Ya lo e escaneado con el RDG y el resultado es

Borland delphi (v 6-7)
y como proteccion Armadillo deteccion Heuristica

(entonces todo lo que e dicho de los registros no sirve en este caso?)

salu2

Shaddy · 10 Julio 2007, 20:17 PM

Cita de: B@RTY en 10 Julio 2007, 13:03 PM
Ya lo e escaneado con el RDG y el resultado es

Borland delphi (v 6-7)
y como proteccion Armadillo deteccion Heuristica

(entonces todo lo que e dicho de los registros no sirve en este caso?)

salu2

buah, yo lo dejaría xD, no se porque to2 los programas que intentáis son armadillo jajaja, tu mismo, lee un topic que dice restorator y bajate el mismo tute probablemente te valga...

Salu2..

B@RTY · 10 Julio 2007, 21:57 PM

donde esta ese topic :S?
e usado la busqueda y no lo encuentro

de todas maneras si es un programa tipo el resourcehacker no creo que sirva
ya que con estos programas no me deja tocar nada

(la cosa esta complicada XD)

salu2

Shaddy · 10 Julio 2007, 22:31 PM

Cita de: B@RTY en 10 Julio 2007, 21:57 PM
donde esta ese topic :S?
e usado la busqueda y no lo encuentro

de todas maneras si es un programa tipo el resourcehacker no creo que sirva
ya que con estos programas no me deja tocar nada
(la cosa esta complicada XD)

salu2

no me referia a eso. aqui esta.

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/847-Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar

aun así analizalo con el ArmaFind que le pongo en el Topic "armadillo tocando las..." era ese me confundí de topic. sigue los pasos mas o menos.

Salu2..

B@RTY · 11 Julio 2007, 11:50 AM

Hola ShadowDark
ante todo gracias por irme a aconsejando, el tutorial que me e bajado trabaja con una proteccion muy similar a la que yo tengo

pero como soy bastante novato me encayo aqui (se que se trata de algo muy basico

)

dice "poner un bp en WriteProcessMemory"

yo no se como se busca dicha llamada, lo unico referente a WriteProcessMemory
que e encontrado es esto

0061634A . FF15 0CC16400 call ds:[<&KERNEL32.WriteProcessMemory>] ; \WriteProcessMemory

de todas maneras al ponerle un bp (que no se qual poner ya que no lo especifican
,yo le pongo el toggle)
i al darle al run me salta un error i se me cierra todo...

pues asi esta la cosa..
me gustaria seguir ya que el tutorial como ya e dicho trabaja con una proteccion muy similar a la que me interesa

salu2

Shaddy · 11 Julio 2007, 15:04 PM

Cita de: B@RTY en 11 Julio 2007, 11:50 AM
Hola ShadowDark
ante todo gracias por irme a aconsejando, el tutorial que me e bajado trabaja con una proteccion muy similar a la que yo tengo

pero como soy bastante novato me encayo aqui (se que se trata de algo muy basico )

dice "poner un bp en WriteProcessMemory"

yo no se como se busca dicha llamada, lo unico referente a WriteProcessMemory
que e encontrado es esto

0061634A . FF15 0CC16400 call ds:[<&KERNEL32.WriteProcessMemory>] ; \WriteProcessMemory

de todas maneras al ponerle un bp (que no se qual poner ya que no lo especifican
,yo le pongo el toggle)
i al darle al run me salta un error i se me cierra todo...

pues asi esta la cosa..
me gustaria seguir ya que el tutorial como ya e dicho trabaja con una proteccion muy similar a la que me interesa

salu2

antes de nada busca en ese mismo topic el programa ArmaFP o algo así se llama que le puse es para detectar la protección exacta de armadillo y me la pegas.

Salu2..

B@RTY · 11 Julio 2007, 20:03 PM

!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Store Environment Vars Externally
Allow Only One Copy
?- Signature 466F3380 13-06-2007

Aqui lo tienes
gracias por tu tiempo

Shaddy · 11 Julio 2007, 20:38 PM

Cita de: B@RTY en 11 Julio 2007, 20:03 PM
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Store Environment Vars Externally
Allow Only One Copy
?- Signature 466F3380 13-06-2007

Aqui lo tienes
gracias por tu tiempo

bien, parece que si que te valdrá el tute.

por lo del bp, no se si bajaste mi ollydbg, está preparado para funcionar en "C:\".

se baja aqúi, http://shaddy.co.nr/OllyDBG.rar, si ya lo tienes simplemente ponle en el command bar BP WriteProcessMemory respetando las mayúsculas y te lo pondra, le das a F9 y "debería" parar.

Salu2..