Tuto

Iniciado por jobeto, 14 Febrero 2013, 18:18 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

jobeto

14 Febrero 2013, 18:18 PM
Saludos:
He venido leyendo tutos sobre ingenieria inversa  y estoy comenzando a hacer practicas  para esto baje un programa del año 2006 lamado meindexplorer sw 3.8 el cual esta compilado en delphi.He encontrado lo siguiente
Al instalarlo copia em la carpeta dos programas uno llamado mindexplorer y otro llamado ascolor organon
No aparece el boton de register en ninguno de los dos programas
Con resource hacker logre activar el boton register en el programa mindexplorer no lo he podido con ascolor organon
Cuando introduzco los datos de register en mindexplorer la ventana desaparece sin enviar ningun mensaje.
Pido por favor me ayuden a eliminar la nag inicial
Que hago para registrarlo
como adiciono el programa para que me ayuden a analizarlo?
cordialmente Jobeto

MCKSys Argentina

#1
14 Febrero 2013, 18:40 PM
Hola!

Creo que antes de lanzarte sobre un programa, debes aprender lo básico. Te recomiendo comenzar por aquí: http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html

Ahora, para analizar un Delphi, lo mejor que hay es IDR: http://kpnc.org/idr32/en/

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

jobeto

#2
6 Octubre 2014, 20:02 PM
Saludos:
Estoy comenzando a practicar  como eliminar nags y para esto tengo un programa llamado mindexplorer sw 3.8. En la carpeta que crea al copiarlo en el pc  aparecen además del mindexplorer otro llamado ascolororgan.

El primer paso es saber en qué lenguaje está compilado, para ello utilizo rdg packer detector. Me dice que está compilado en delphi  6-7 y no está empaquetado
Al picar en análisis extendido aparece posible injector (detección euristica)

Estoy tratando de eliminar estas nags que aparecen al iniciar el programa MindExplorer SW 3.8

Al picar en el botón try aparece la siguiente caja como versión demo y otra llamada show Windows.

Esta nag tiene deshabilitada la caja de registro así como otras funciones propias del programa.
Me estoy guiando en un tutorial llamado "Como eliminar nags en programas delphi"  el cual dice que:  "La cosa consiste en ponerle un bp en el comienzo de la rutina que tengan en el  parámetro Message un WM_CANCELMODE en la api SendMessageA, se hallen dos GetCapture, y por ultimo un ReleaseCapture."
El inicio de esta rutina la encontré en 462EA0 como muestra la siguiente gráfica

Coloco los BP como indica el tutorial para saber donde retorna y esto es lo que encuentro:

El retorno 45F067 me lleva  a la rutina

Cambio el JE por Jmp me desaparece la caja de versión demo,
   
Aparentemente lo he logrado pero al cerrarlo esto es lo que obtengo:

Por favor me pueden ayudar a encontrar el salto que evita esta fastidiosa nag. Mil gracias
Imprimir
Ir Arriba Páginas1
Acciones del Usuario