[Tutorial]Crackeando Wondershare Time Freeze

Iniciado por .:UND3R:., 1 Diciembre 2011, 02:28 AM

0 Miembros y 3 Visitantes están viendo este tema.

.:UND3R:.

Crackeando Wondershare Time Freeze

Nombre:Wondershare Time Freeze
Página web:www.wondershare.com
Descarga:http://www.wondershare.com/pro/time-freeze.html
Versión:2.0.3
Autor del tutorial:UND3R

I-Inspeccionando el programa:
Una vez instalado el programa, iniciamos el programa y veremos lo siguiente:




Si introducimos un mail y una contraseña, nos aparecerá el siguiente mensaje:

*En mi caso e-mail: UND3R@CRACK.COM Registration code: TUTORIAL


II-Usando OllyDBG:
Cargamos el programa OllyDBG y veremos el siguiente Entry Point


Si buscamos referencias de textos y buscamos REGISTERED nos encontraremos con lo siguiente:



Hacemos doble clic al texto encontrado:


Si subimos un poco encontraremos una serie de JMP'S SHORT pero ninguno interesante, hasta que encontraremos el siguiente salto que podría ser la bifurcación entre un serial válido y uno No válido:



Intentemos llenar con NOP (Not Operand):


Lo más probable es que sea el punto de bifurcación correcto, pero intentemos ver que realiza el programa para registrarlo. Colocamos un BP a continuación:


Entremos a la call 00426C3A:



Veremos la siguiente API GetSystemDirectoryW, esta API se encarga de devolver en el búfer la ruta de SYSTEM32:


Lleguemos hasta ella:


Si vemos en el STACK, podremos dirigirnos al parámetro buffer (Follow in Dump):


Si pasamos la CALL con F8 veremos la ruta en el buffer:


Si seguimos traceando llegaremos hasta la siguiente string, lo más probable es que se concatenará con la ruta de SYSTEM32:


Llegamos hasta la siguiente instrucción:


Si miramos los registros de propósito general, veremos que [EAX] y [ECX] apuntan
a una archivo con extensión.acy:


Si seguimos traceando llegaremos hasta la API CreateFileW, encargada de crear o abrir un objeto:



Si vemos en el dump veremos que el parámetro FileName apunta a la concatenación anterior realizada por el programa:


Ahora si presionamos F9, nos aparecerá el siguiente mensaje:


Intentemos ver el contenido del archivo creado por el programa, nos vamos a la ruta:



Lo abrimos con NOTEPAD y veremos lo siguiente:


Si movemos la barra de desplazamiento de ventana hacia la izquierda notaremos los siguientes datos:


Si nos vamos a REGISTER veremos lo siguiente:


Si borramos el archivo mkdw48.acy y reiniciamos el programa veremos que volvemos a tener el programa como NO registrado:



UND3R

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

chEEtos

.:UND3R:.,
Obrigado por compartilhar sua técnica,
está muito bem explicada...
Profissional e de qualidade , um tutorial bem detalhado.  ;-)
agora eu entendi  amigo...

você matou a charada de onde era gerando o arquivo que validava o software,PARABÉNS AMIGO!!!


"a una archivo con extensión.acy:  [ mkdw48.acy ]
e criado na pasta C:\WINDOWS\system32 "


obrigado por toda sua atenção e querer ensinar aos novatos
que tenhan interesse em aprender.a Arte Cracking

Gracias !!!
Saludo!!!

;-)

.:UND3R:.

Cita de: chEEtos en  1 Diciembre 2011, 05:21 AM
.:UND3R:.,
Obrigado por compartilhar sua técnica,
está muito bem explicada...
Profissional e de qualidade , um tutorial bem detalhado.  ;-)
agora eu entendi  amigo...

você matou a charada de onde era gerando o arquivo que validava o software,PARABÉNS AMIGO!!!


"a una archivo con extensión.acy:  [ mkdw48.acy ]
e criado na pasta C:\WINDOWS\system32 "


obrigado por toda sua atenção e querer ensinar aos novatos
que tenhan interesse em aprender.a Arte Cracking

Gracias !!!
Saludo!!!

;-)

de nada mais vc teim que ficar aqui em elhacker.net eu poço ayudar a vc igual que toda a genti de aqui, si vc precisa mais da minha ayuda eu nao teim neum problema vc e benvenido aqui  ;-)

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

chEEtos


zone_sjm

me quedo en la parte despues de:

Entremos a la call 00426C3A:

Luego al querer ver lo del GetSystemDirectoryW no se como verlo en el stack. cuando presiono f8 luego de crear un nuevo punto de origen en la parte de getsystemdirectoryw me sale error. algo de permisos. y me manda a otro modulo.

si no hago los pasos de "Entremos a la call 00426C3A:" y lo que sigue, se logra crear el archivo .sys para activar el programa

.:UND3R:.

Con entrar me refería a presionar F7 (visualizar el contenido de la call, en otras palabras analizar la función o procedimiento que es llamado). Una vez adentro debes llegar hasta la API mencionada, a la derecha podrás visualizar los parámetros de estas, si quieres visualizar alguno, es tan simple como hacer clic derecho en uno de sus parámetros y presionar FOLLOW IN DUMP.

Este tutorial es muy antiguo por lo que no lo recuerdo muy bien, espero que de todas formas sea de tu ayuda, saludos.

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

zone_sjm

Cita de: .:UND3R:. en  7 Septiembre 2012, 22:35 PM
Con entrar me refería a presionar F7 (visualizar el contenido de la call, en otras palabras analizar la función o procedimiento que es llamado). Una vez adentro debes llegar hasta la API mencionada, a la derecha podrás visualizar los parámetros de estas, si quieres visualizar alguno, es tan simple como hacer clic derecho en uno de sus parámetros y presionar FOLLOW IN DUMP.

Este tutorial es muy antiguo por lo que no lo recuerdo muy bien, espero que de todas formas sea de tu ayuda, saludos.

cuando presiono f7 al seleccionar el call me manda a otro parte que no es la correcta.
para ir a la direccion que indica el call presiono la tecla CTRL y la tecla D. Luego en el cuadro que sale coloco la direccion que indica.

luego sigo con lo de el problema de permisos en la parte de ver GetSystemDirectoryW.


seria bueno si pudieras hacer un videotutorial.

gracias por la pronta respuesta :)


apuromafo CLS

ejale wondershare como ha decaido, antiguamente veia cosas como RSA y anticrc, ahora veo que crean archivos tipos y eso es todo jiji

saludos Apuromafo

zone_sjm


tincopasan

SI estás registrado y logueado las imágenes se ven!!!!!!!