Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Mintaka

#1
Cita de: nemus en  3 Septiembre 2010, 18:41 PM

En cambio se deja instalar con fecha aproximada a junio/2009. Entonces permite 90 días full. Mi objetivo era conseguir que el programa estuviera siempre en período de prueba.

Estoy sin ideas. :-[

Domingo noche empiezo a trabajar, y adéu a las vacaciones.  :-(

Una ayudita no estaría mal, venga no me hagáis suplicar mas. :-)

Thanks.

Te mandé un MP nemus.

Mintaka
#2
Cita de: nemus en 31 Agosto 2010, 22:21 PM
.......
RegCreateKeyExA:  A través de esta API he descubierto que pasados los 90 días modifica una clave situada en "HKEY_CURRENT_USER\Software\Microsoft\MSInfo" esta clave durante el periodo full contienen el valor 0, y finalizado el periodo lo cambia a 1. Una vez modificado el valor el programa oculta el acceso a parte las funciones del modo full del programa. Dejando al programa solo con las funciones free.
RegSetValueExA
RegOpenKeyExA
RegClosedKeyExA

Sigo perdido, pero luchando!  :)

Preparado para nuevas sugerencias solo me quedan 5 días de vacaciones. :-(

Una ayudita! Thanks.[/size]


Bueno.¿Qué tal si averiguas en que parte del código intenta cambiar ese valor a 1?.
Y sabiéndolo, ¿porqué no cambiar ese valor 1 que quiere ponerle, por un cero?.
He intentado bajarme el programa y me dice que:

El archivo al que está intentando acceder está temporalmente desactivado

Animo que estás más cerca.
#3
Hola:
A mí personalmente, me gusta hallar la call que provoca la nagscreen y lo consigo mediante el método llamado "a lo retro".Este método consiste en colocar un breakpoint en el Olly (BP DestroyWindow) antes de cerrar esa nag.Cuando la cierras Olly detiene la ejecución justo cuando entra en el procedimiento de borrar la nag.Seguidamente de doy a ALT+F9 y me deja parado una instrucción después de la call para sacar la nag cojonera.A partir de ahí hay ir observando hacia atrás, en el código, y colocar breakpoints en los lugares sospechosos que te llevan a la esa call maldita.Reiniciar Olly e ir observando que sucede a partir de esos BP's y si es preciso retroceder más en el código para descubrir donde descuenta los días.A veces es tan simple, como ver una resta a 5A (90 decimal).
De todos modos, existen bastantes escritos sobre las nags por aquí:

*http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/*:

816-Quitando nagscreen en vb.zip

838-COMO_ELIMINAR_NAGS_EN_PROGRAMAS_DELPHI.rar

834-Registrando Secutity Task Manager por ZiKaTRiZ.rar

323-Desempacado y quitando la nag de Soldat v1.21 (ASPr v1.2).rar

932-Parcheando y quitando NagS a un EXE por CaR19.rar

1012-Teoria sobre como eliminar un NAG con nada mas mirrar la pila.rar

177-COMO HACER UN LOADER SENCILLO QUE PULSE BOTONES PARA ELIMINAR NAGS.rar

115-OLLY_Contra_NAG_Parte_III.zip

200-Como realizar un injerto para eliminar una nag simulando que se presiona el boton .rar

100-OLLY_Contra_NAG_Parte_II.rar

095-OLLY Contra Las NAG Parte I por Arapumk.rar

*http://ricardonarvaja.info/WEB/OTROS/AKIRA TODO/*:

35.Estudio completo de Nag Screen.rar

Suerte,

Mintaka

PD:A ver si se despierta el amigo Tena y te da sus consejos.
#4
Ingeniería Inversa / Re: Offsets con el olly
2 Agosto 2010, 01:17 AM
Hola.
Siempre suponiendo que no esté empacado:
Cuando cargues el ejecutable en Olly y éste se detenga en el Entry Point, le das a ALT+E y verás  los "Executable modules".
Tu programa se sitúa siempre en la dirección base 00400000.

Executable modules, item 0
Base=00400000
Size=00483000 (4730880.)
Entry=005BED84 <Grrr.start>
Name=Grrr
File version=5.0.0.123
Path=X:\Archivos de programa\Grrr\Grrr.exe

Lo seleccionas --->botón derecho --->View executable file y ahí te lo saca con offsets (presenta la dirección base a cero).
A partir de aquí puedes buscar los bytes que te interesan mediante CTRL+B.
Suerte,

Mintaka
#5
Puedes probar con BP en DestroyWindow y vas ejecutando ret's hasta llegar al programa.No suele estar muy lejos esa call de la dirección donde te encontrarás.
Suerte,

Mintaka
#6
Cita de: Revolutions en 14 Junio 2010, 12:23 PM
... (no he conseguido lo del 1E por no saber como)..........al intentar grabar las modificaciones no me deja pues dice que es la dll del sistema VB6.


1Eh=30d, que son los días de trial y normalmente los puedes encontrar buscando en la ventana del desensamblado, la instrucción PUSH 1E.
Es posible que te salga más de una ocurrencia.Es cuestión de poner BP y mirar que hace más adelante con ese valor 1E y así vas descartando.Pero me da la impresión que va a ser en la primera que te pare.
Y en cuanto a las modificaciones es que no lo estás haciendo en el lugar adecuado.Hazlo con un editor hexadecimal buscando la frase en unicode y creo que te saldrá más o menos por el offset 0024BB2A.
Saludos,

Mintaka
#7
Hola Revolutions.
Si usas el Olly (como te dice el amigo MCKSys), verás que es fácil dar con las zonas donde están las limitaciones.Por ejemplo buscas en -All referenced text strings- la frase mágica "Trial version".La encuentra fijo y le sustituyes los ascii de las letricas por 20 y bye bye, water mark.La comparación con el 1E (para los días) también la encuentras fijo, etc...
Solo tienes que ponerte y lo sacas.
Suerte,

Mintaka
#8
Ingeniería Inversa / Re: softice
20 Marzo 2010, 17:42 PM
Yo lo tengo instalado en XP SP3 y funcionando bien.
Comento que tuve diversos problemas con la gráfica y el mouse, pero al final conseguí hacerlo andar.
¿Qué cómo lo hice?.Ahí va:

1.-Conseguí DriverStudio 3.2 e instalé solo Softice, en modo local.
2.-Apliqué el parche "Update support for XP SP2 and future operating systems", que la misma empresa Compuware hizo.

Saludos,

Mintaka
#9
Prueba con otro detector para estar seguro de que es ese packer.
Puedes usar este otro si quieres:

http://www.exeinfo.xwp.pl/

Suerte,

Mintaka
#10
Cita de: Taoutew en 26 Enero 2010, 23:36 PM
Supongo que querra cambiar el texto de la barra de titulo del navegador. Supongo que se puede hacer desde el regedit.

Sí, se puede hacer con el regedit.
Yo hice un cambio en la barra del título al Iexplorer de M$.
Hay que buscar en la rama HKEY_CURRENT_USER\Software, el título que queremos cambiar y editarlo.
Suerte.

Mintaka