[Tutorial]Unpack .NET Reactor + Crack

.:UND3R:. · 17 Enero 2015, 07:46 AM

Unpack .NET Reactor + Crack
Iniciamos la aplicación y vemos la siguiente nag:

Si revisamos con RDG Packer detector en busca de información del ejecutable, obtenemos los siguiente:

por lo cual debemos enfrentarnos al packer para luego intentar crackear la aplicación, para desempaquetar .NET Reactor utilizaremos de4dot:

Intentamos localizar algún método sospechoso y encontramos "checkLic" el cual retorna true si existe licencia o false en caso contrario. Sabiendo eso buscamos en que lugar es usado el método y obtenemos lo siguiente:

MainFrm_Load()

Código (csharp) [Seleccionar]

}
       if (Class9.checkLic())
       {
           if (Operators.CompareString(Class9.string_3, "Basic Edition", false) == 0)
           {
               this.opt_MusicDuplicates.Enabled = false;
               this.opt_PatternDuplicates.Enabled = false;
               this.opt_MusicDuplicates.Values.ExtraText = "Not Available In Basic Edition";
               this.opt_PatternDuplicates.Values.ExtraText = "Not Available In Basic Edition";
               this.m_Activate.Text = "Activate Upgrade";
               this.m_BuyNow.Text = "Upgrade to Pro Edition";
           }
           else
           {
               this.m_Activate.Visible = false;
               this.m_BuyNow.Visible = false;
           }

Por lo cual si el método checkLic retornará siempre true gracias a la composición de las condiciones activaríamos el software en la versión Pro Edition. Ahora si modificamos checkLic (en realidad si realizamos cualquier modificación con SAE o Reflexil) obtenemos el siguiente mensaje de error:

Por lo cual me vi obligado a modificar los op code de forma manual (editor hexadecimal), para ello con IDA localicé el offset del método checkLic y me arrojó que era: 0x21DC8 tras dirigirme al inicio del método, este debía retornar siempre true:

Código [Seleccionar]

MSIL
L_004C516E:   ldc.i4.1 (OP CODES = 17) 
L_004C516F:   ret (OP CODES = 2A)

por lo que en resumen si modificamos los primeros dos bytes del offset 0x21DC8 por 0x17 0x2A (172A) con un editor hexadecimal y guardamos los cambios, al iniciar el ejecutable obtendremos lo siguiente:

Eleкtro · 17 Enero 2015, 08:53 AM

Me quito el sombrero.

¡ Gracias por ilustrarnos con tus conocimientos !

EDITO:
Joder, ¡es que te lo has currado muchísimo!

Señores, ahí tienen el mejor buscador de duplicados de todos los tiempos, un aplauso a la mágia del compañero .:: Under ::.

PD: Sé que otra persona del foro intentó desempaquetar y craquear esa aplicación, ¡GRACIAS para esa persona flameante por intentarlo también!

Saludos

Flamer · 17 Enero 2015, 14:02 PM

guau te la rifastes UNDER buen tutorial

sigue asi hermano

Saludos Flamer y yo no pude por que no tengo PC

.:UND3R:. · 17 Enero 2015, 16:17 PM

No es para tanto, flamer me motivó, saludos

MCKSys Argentina · 17 Enero 2015, 20:35 PM

Muy bueno .:UND3R:. !

Gracias por compartir!

Saludos!

PD: Voy a ser un poco malo y te voy a pedir una cosa: que lo pases a pdf y lo mandes a CLS (así queda disponible, por si vuelan las imagenes de los hostings.)

.:UND3R:. · 17 Enero 2015, 22:43 PM

Cita de: MCKSys Argentina en 17 Enero 2015, 20:35 PM
Muy bueno .:UND3R:. !

Gracias por compartir!

Saludos!

PD: Voy a ser un poco malo y te voy a pedir una cosa: que lo pases a pdf y lo mandes a CLS (así queda disponible, por si vuelan las imagenes de los hostings.)

Tendré que cumplir :/ jajaja llegando del viaje lo subo, gracias, saludos y abrazos

PD: el hosting es i.elhacker.net pero tienes razón, no está demás prevenir así que se va a CLS

ViejoMajara · 30 Enero 2015, 13:01 PM

¡Hola!

Iba a repetir este ejercicio para entrenarme y resulta que la versión que se baja ahora del Easy es la 4.7.391 y la protección es con UPX v1.95 beta-3x, pero bueno, algo sacaré en limpio.

Los videos de la contestación de Elektro, ¡alucinantes! Cada vez que los veo me sale la sonrisa y, con el primero, la carcajada.

Saludos.

.:UND3R:. · 30 Enero 2015, 17:00 PM

Cita de: ViejoMajara en 30 Enero 2015, 13:01 PM
¡Hola!

Iba a repetir este ejercicio para entrenarme y resulta que la versión que se baja ahora del Easy es la 4.7.391 y la protección es con UPX v1.95 beta-3x, pero bueno, algo sacaré en limpio.

Los videos de la contestación de Elektro, ¡alucinantes! Cada vez que los veo me sale la sonrisa y, con el primero, la carcajada.

Saludos.

Hola

si tiene UPX sin alterar lo puedes desempaquetar con el mismo UPX:
http://upx.sourceforge.net

No recuerdo exactamente el comando pero es sencillo, saludos

ViejoMajara · 9 Febrero 2015, 12:13 PM

¡Hola!

Estos días he andado a vueltas con otros asuntos y me ha sido del todo imposible ocuparme de uno de mis temas favoritos, pero más vale tarde que nunca.

Lo del UPX. He tratado de desempacarlo entrando en DOS, llegando a la carpeta donde está UPX, copiando EasyDuplicateFinder.exe (EDF) en esa carpeta y poniendo allí:

upx -d EasyDuplicateFinder.exe

La contestación ha sido:

upx: EasyDuplicateFinder.exe: CantUnpackException:file is modified/hacked/protected; take care!!!

Repasaré lo que estudié sobre lo que hay que hacer cuando pasan estas cosas.

De todas formas quería hacer un par de comentarios. El primero es que quería haber enviado una copia de la ventana de DOS con la contestación, pero he sido incapaz de hacerlo. ¿Hay algún sitio del foro donde expliquen cómo insertar fotos o dibujos en el texto que los tengo archivados como bmp?.

El otro es que el EDP ha cambiado. Ahora hay que enviar la dirección de email y la License Key y te dan la clave para poder utilizar todos los recursos del programa, que actualmente no caduca.

Saludos

Flamer · 10 Febrero 2015, 00:57 AM

http://i.elhacker.net/

hay puedes subir imagenes

saludos Flamer