Crackeando Wondershare Time FreezeNombre:Wondershare Time Freeze
Página web:www.wondershare.com (http://www.wondershare.com)
Descarga:http://www.wondershare.com/pro/time-freeze.html (http://www.wondershare.com/pro/time-freeze.html)
Versión:2.0.3
Autor del tutorial:UND3R
I-Inspeccionando el programa:Una vez instalado el programa, iniciamos el programa y veremos lo siguiente:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/1.jpg)
Si introducimos un mail y una contraseña, nos aparecerá el siguiente mensaje:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/2.jpg)
*En mi caso e-mail:
UND3R@CRACK.COM Registration code:
TUTORIALII-Usando OllyDBG:Cargamos el programa OllyDBG y veremos el siguiente Entry Point
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/3.jpg)
Si buscamos referencias de textos y buscamos
REGISTERED nos encontraremos con lo siguiente:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/4.jpg)
Hacemos doble clic al texto encontrado:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/5.jpg)
Si subimos un poco encontraremos una serie de JMP'S SHORT pero ninguno interesante, hasta que encontraremos el siguiente salto que podría ser la bifurcación entre un serial válido y uno No válido:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/6.jpg)
Intentemos llenar con NOP (Not Operand):
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/7.jpg)
Lo más probable es que sea el punto de bifurcación correcto, pero intentemos ver que realiza el programa para registrarlo. Colocamos un BP a continuación:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/8.jpg)
Entremos a la call 00426C3A:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/9.jpg)
Veremos la siguiente API
GetSystemDirectoryW, esta API se encarga de devolver en el búfer la ruta de SYSTEM32:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/10.jpg)
Lleguemos hasta ella:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/11.jpg)
Si vemos en el STACK, podremos dirigirnos al parámetro buffer (Follow in Dump):
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/12.jpg)
Si pasamos la CALL con F8 veremos la ruta en el buffer:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/13.jpg)
Si seguimos traceando llegaremos hasta la siguiente string, lo más probable es que se concatenará con la ruta de SYSTEM32:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/14.jpg)
Llegamos hasta la siguiente instrucción:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/15.jpg)
Si miramos los registros de propósito general, veremos que [EAX] y [ECX] apuntan
a una archivo con extensión.acy:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/16.jpg)
Si seguimos traceando llegaremos hasta la API
CreateFileW, encargada de crear o abrir un objeto:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/17.jpg)
Si vemos en el dump veremos que el parámetro
FileName apunta a la concatenación anterior realizada por el programa:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/18.jpg)
Ahora si presionamos F9, nos aparecerá el siguiente mensaje:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/19.jpg)
Intentemos ver el contenido del archivo creado por el programa, nos vamos a la ruta:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/20.jpg)
Lo abrimos con
NOTEPAD y veremos lo siguiente:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/21.jpg)
Si movemos la barra de desplazamiento de ventana hacia la izquierda notaremos los siguientes datos:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/22.jpg)
Si nos vamos a
REGISTER veremos lo siguiente:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/23.jpg)
Si borramos el archivo
mkdw48.acy y reiniciamos el programa veremos que volvemos a tener el programa como NO registrado:
(http://r00t-pssw.webcindario.com/images/Crack/Time%20Freeze/1.jpg)
UND3R
Con entrar me refería a presionar F7 (visualizar el contenido de la call, en otras palabras analizar la función o procedimiento que es llamado). Una vez adentro debes llegar hasta la API mencionada, a la derecha podrás visualizar los parámetros de estas, si quieres visualizar alguno, es tan simple como hacer clic derecho en uno de sus parámetros y presionar FOLLOW IN DUMP.
Este tutorial es muy antiguo por lo que no lo recuerdo muy bien, espero que de todas formas sea de tu ayuda, saludos.
Cita de: .:UND3R:. en 7 Septiembre 2012, 22:35 PM
Con entrar me refería a presionar F7 (visualizar el contenido de la call, en otras palabras analizar la función o procedimiento que es llamado). Una vez adentro debes llegar hasta la API mencionada, a la derecha podrás visualizar los parámetros de estas, si quieres visualizar alguno, es tan simple como hacer clic derecho en uno de sus parámetros y presionar FOLLOW IN DUMP.
Este tutorial es muy antiguo por lo que no lo recuerdo muy bien, espero que de todas formas sea de tu ayuda, saludos.
cuando presiono f7 al seleccionar el call me manda a otro parte que no es la correcta.
para ir a la direccion que indica el call presiono la tecla CTRL y la tecla D. Luego en el cuadro que sale coloco la direccion que indica.
luego sigo con lo de el problema de permisos en la parte de ver GetSystemDirectoryW.
seria bueno si pudieras hacer un videotutorial.
gracias por la pronta respuesta :)
ejale wondershare como ha decaido, antiguamente veia cosas como RSA y anticrc, ahora veo que crean archivos tipos y eso es todo jiji
saludos Apuromafo