Hola,
tengo un programilla el qual deja unos pocos dias de evaluacion,
no encuentro cracks, i tampoko me interesa mucho el encontrarlo,
Tengo entendido que borrando cierto registro, el perido de evaluacion se anula,
Explicare brevemente lo que e leido en un tutorial y haber si me podeis ayudar ya que me pierdo un poco:
lo primero que dice es bajarse el "Regmon"
i azerlo funcionar,
una vez echo esto arrancamos el programa a crackear y detenemos la busqueda con el Regmon
Llegado este punto el tutorial dice que devemos abrir el "regedit"
acontinuacion buscar los "binari keys" del programa a crackear i posteriormente eliminarlos.
pareze facil...
pero la cantidad de registros relacionados con el proceso es enorme i soy incapaz de encontralo...
pues aqui queda la pregunta..
me e enrollado un poco por la cuestion de que no quiero crackear el programa simplemente, si no que me gustaria entender un poco los registros que se crean y todo esto...
gracias por adelantado
salu2 ;)
Cita de: B@RTY en 10 Julio 2007, 03:11 AM
Hola,
tengo un programilla el qual deja unos pocos dias de evaluacion,
no encuentro cracks, i tampoko me interesa mucho el encontrarlo,
Tengo entendido que borrando cierto registro, el perido de evaluacion se anula,
Explicare brevemente lo que e leido en un tutorial y haber si me podeis ayudar ya que me pierdo un poco:
lo primero que dice es bajarse el "Regmon"
i azerlo funcionar,
una vez echo esto arrancamos el programa a crackear y detenemos la busqueda con el Regmon
Llegado este punto el tutorial dice que devemos abrir el "regedit"
acontinuacion buscar los "binari keys" del programa a crackear i posteriormente eliminarlos.
pareze facil...
pero la cantidad de registros relacionados con el proceso es enorme i soy incapaz de encontralo...
pues aqui queda la pregunta..
me e enrollado un poco por la cuestion de que no quiero crackear el programa simplemente, si no que me gustaria entender un poco los registros que se crean y todo esto...
gracias por adelantado
salu2 ;)
lo primero que tienes que hacer es analizarlo, por ejemplo con RDG Packer Detector v0.6.5, y luego nos dices que clase de compilador / protección utiliza y lo abres posteriormente con:
http://shaddy.co.nr/OllyDBG.rar
y ahi es donde empieza todo ;).
Salu2..
Ya lo e escaneado con el RDG y el resultado es
Borland delphi (v 6-7)
y como proteccion Armadillo deteccion Heuristica
(entonces todo lo que e dicho de los registros no sirve en este caso?)
salu2 ;)
Cita de: B@RTY en 10 Julio 2007, 13:03 PM
Ya lo e escaneado con el RDG y el resultado es
Borland delphi (v 6-7)
y como proteccion Armadillo deteccion Heuristica
(entonces todo lo que e dicho de los registros no sirve en este caso?)
salu2 ;)
buah, yo lo dejaría xD, no se porque to2 los programas que intentáis son armadillo jajaja, tu mismo, lee un topic que dice restorator y bajate el mismo tute probablemente te valga...
Salu2..
donde esta ese topic :S?
e usado la busqueda y no lo encuentro
de todas maneras si es un programa tipo el resourcehacker no creo que sirva
ya que con estos programas no me deja tocar nada :(
(la cosa esta complicada XD)
salu2 ;)
Cita de: B@RTY en 10 Julio 2007, 21:57 PM
donde esta ese topic :S?
e usado la busqueda y no lo encuentro
de todas maneras si es un programa tipo el resourcehacker no creo que sirva
ya que con estos programas no me deja tocar nada :(
(la cosa esta complicada XD)
salu2 ;)
no me referia a eso. aqui esta.
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/847-Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar
aun así analizalo con el ArmaFind que le pongo en el Topic "armadillo tocando las..." era ese me confundí de topic. sigue los pasos mas o menos.
Salu2..
Hola ShadowDark
ante todo gracias por irme a aconsejando, el tutorial que me e bajado trabaja con una proteccion muy similar a la que yo tengo
pero como soy bastante novato me encayo aqui (se que se trata de algo muy basico :-[)
dice "poner un bp en WriteProcessMemory"
yo no se como se busca dicha llamada, lo unico referente a WriteProcessMemory
que e encontrado es esto
0061634A . FF15 0CC16400 call ds:[<&KERNEL32.WriteProcessMemory>] ; \WriteProcessMemory
de todas maneras al ponerle un bp (que no se qual poner ya que no lo especifican
,yo le pongo el toggle)
i al darle al run me salta un error i se me cierra todo...
pues asi esta la cosa..
me gustaria seguir ya que el tutorial como ya e dicho trabaja con una proteccion muy similar a la que me interesa
salu2 ;)
Cita de: B@RTY en 11 Julio 2007, 11:50 AM
Hola ShadowDark
ante todo gracias por irme a aconsejando, el tutorial que me e bajado trabaja con una proteccion muy similar a la que yo tengo
pero como soy bastante novato me encayo aqui (se que se trata de algo muy basico :-[)
dice "poner un bp en WriteProcessMemory"
yo no se como se busca dicha llamada, lo unico referente a WriteProcessMemory
que e encontrado es esto
0061634A . FF15 0CC16400 call ds:[<&KERNEL32.WriteProcessMemory>] ; \WriteProcessMemory
de todas maneras al ponerle un bp (que no se qual poner ya que no lo especifican
,yo le pongo el toggle)
i al darle al run me salta un error i se me cierra todo...
pues asi esta la cosa..
me gustaria seguir ya que el tutorial como ya e dicho trabaja con una proteccion muy similar a la que me interesa
salu2 ;)
antes de nada busca en ese mismo topic el programa ArmaFP o algo así se llama que le puse es para detectar la protección exacta de armadillo y me la pegas.
Salu2..
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Store Environment Vars Externally
Allow Only One Copy
?- Signature 466F3380 13-06-2007
Aqui lo tienes
gracias por tu tiempo ;)
Cita de: B@RTY en 11 Julio 2007, 20:03 PM
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Store Environment Vars Externally
Allow Only One Copy
?- Signature 466F3380 13-06-2007
Aqui lo tienes
gracias por tu tiempo ;)
bien, parece que si que te valdrá el tute.
por lo del bp, no se si bajaste mi ollydbg, está preparado para funcionar en "C:\".
se baja aqúi, http://shaddy.co.nr/OllyDBG.rar, si ya lo tienes simplemente ponle en el command bar BP WriteProcessMemory respetando las mayúsculas y te lo pondra, le das a F9 y "debería" parar.
Salu2..
bueno mas o menos vai avanzando :)
e encontrado el call encriptador y el OEP hijo
ahora llego un punto en el que tengo que nopear el call encriptador
pero no me queda claro.
como voi otra vez donde estaba el call?
i como se nopea?
gracias esto parece que tira aunque aun me queda mucho por delante
salu2 ;)
Cita de: B@RTY en 12 Julio 2007, 13:53 PM
bueno mas o menos vai avanzando :)
e encontrado el call encriptador y el OEP hijo
ahora llego un punto en el que tengo que nopear el call encriptador
pero no me queda claro.
como voi otra vez donde estaba el call?
i como se nopea?
gracias esto parece que tira aunque aun me queda mucho por delante
salu2 ;)
cuando le das a ALT + K, vas a el call, y para volver a donde estabas ALT + C (code) que te actualiza a donde estas en el momento, el ALT + K es el CALL STACK que quiere decir los CALL que llamaron, y tu ves quien te llamo, uno llamo el call encriptador y otro el desencriptador. ya lo dice bien en el tute, para nopear simplemente le pones el cursor en la linea le clickeas y escribes "nop" porque automáticamente te pondrá en modificar comando (si no barra espaciadora que es lo mismo).
Salu2..
pues yo sigo aqui con mi proyecto...
me cuesta bastante i en muchos pasos me encayo
pero ahora aqui si que me e quedado
El proximo paso sera colocar el loop infinito en el OEP del HIJO, el cual obtenemos con una simple cuenta:
OEP - Zona Base = Desplazamiento
66B92C - 66B000 = 92C
Zona Base + Desplazamiento = Zona de los bytes del OEP
0EC0048 + 92C = 0EC0974
el OEP ya lo tengo, lo que no entiendo es la segunda operacion
0EC0048 + 92C = 0EC0974
gracias por tu atencion de verdad
Cita de: B@RTY en 12 Julio 2007, 19:45 PM
pues yo sigo aqui con mi proyecto...
me cuesta bastante i en muchos pasos me encayo
pero ahora aqui si que me e quedado
El proximo paso sera colocar el loop infinito en el OEP del HIJO, el cual obtenemos con una simple cuenta:
OEP - Zona Base = Desplazamiento
66B92C - 66B000 = 92C
Zona Base + Desplazamiento = Zona de los bytes del OEP
0EC0048 + 92C = 0EC0974
el OEP ya lo tengo, lo que no entiendo es la segunda operacion
0EC0048 + 92C = 0EC0974
gracias por tu atencion de verdad
el padre no tiene las mismas direcciones que el hijo, por lo tanto imagina que el padre tiene la dirección:
1000 y el hijo la 2000, y el OEP del padre es 1010, entonces lo que dice ahi es que mires la base del padre:
1000 y la del hijo
2000 y que calcules el desplazamiento del que sabes (el padre) que tiene desde la base hasta el OEP para poder añadirlo al hijo y calcular la dirección de su OEP, es decir, para hacer el loop tienes que saber donde comienza el hijo (OEP) y ahi hacerle un loop, el loop es simplemente que se quede todo el rato haciendo lo mismo y saltando a la misma direccion constantemente. así que el concepto es que le quites la base al oep:
1010 (OEP) -
1000 (BASE) =
10 (DESPLAZAMIENTO)
y 10 es el desplazamiento, osea, desde la base hasta el OEP hay 10 bytes, así que en el hijo sabiendo la base le sumas 10, y si la base es 2000 le sumas 10:
2000 (BASE) + 10 (DESPLAZAMIENTO) = 2010 (OEP DEL HIJO)espero que lo entiendas, no se si te he liado mas o te lo he explicado cualquier cosa dime.
Salu2..