Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - overnat

#1
Hola,

He estado revisando el programa con Protection id y es verdad que decia Dotnet .

Por lo que me lie a buscar info sobre este tipo de proteccion , y parece que nuestro querido programa no va ser nada facil meterle mano  :rolleyes: ....

Buscando info encontre varias utilidades , pero yo no consigo sacar nada en claro, bueno si algo si . El programa utiliza una libreria ezencryption_lib , no estoy seguro pero creo que es una especie de libreria para cifrar textos y codigo fuente .

Por otro lado he podido hacer un trace del programa con una aplicacion llamada dotTrace ( San roto el coco con el nombre :) ) . Con esta aplicacion he conseguido ver los datos que te digo arriba y algo más pero yo tengo pocos conocimientos en este tema . 

Tambien he encontrado esta aplicacion , que tampoco se muy bien su utilidad aun teniendo un nombre bien clarito .

License Manager Killer Win32


Otra mas DotNET_Reflector_v2.01.04


Dotnet Dumper para dumpear el codigo .net


Cff Explorer puedes crear nuevos .exe quitando componentes de .net .

{smartkill} v0.3 Puedes ver direcciones Hex de codigo .net y modificar partes de codigo .

He localizado un Crackme de como eliminar un nag .net y parece facil , pero el problema es que este no lleva la proteccion de codigo .

Estoy intentando entender como funciona el protector dotnet si localizo mas informacion te ire informando .

Creo que Apuromafo tiene un plugin en su blog que es para descompilar .net en olly y viene incluido el tema de dotnet . A ver si me entero mejor.

Bueno Salu2 .

#2
Alguna idea ó manual ó lo que sea para poder continuar .

Una cosa más .

Cargo el programa en olly le pongo un BP en CreateWindowsExA y el programa se detiene cuando muestra el nag como es de esperar, pues bien , pulso alt-F9 y me muestra esto .

4EBC6B36    6A 01                   PUSH 1
4EBC6B38    6A 01                   PUSH 1
4EBC6B3A    53                      PUSH EBX
4EBC6B3B    53                      PUSH EBX
4EBC6B3C    68 000000A0             PUSH A0000000
4EBC6B41    68 346CBC4E             PUSH 4EBC6C34                                  ; ASCII "GDI+ Window"
4EBC6B46    50                      PUSH EAX
4EBC6B47    53                      PUSH EBX
4EBC6B48    FF15 F814BA4E           CALL DWORD PTR DS:[4EBA14F8]                   ; user32.CreateWindowExA
4EBC6B4E    3BC3                    CMP EAX,EBX
4EBC6B50    A3 040AD24E             MOV DWORD PTR DS:[4ED20A04],EAX
4EBC6B55    0F84 46A10400           JE 4EC10CA1
4EBC6B5B    56                      PUSH ESI
4EBC6B5C    57                      PUSH EDI
4EBC6B5D    68 03080300             PUSH 30803
4EBC6B62    E8 1B010000             CALL 4EBC6C82

Esta bien ?.

Si pulso continuamente en alt+F9 se queda en un bucle je y no sale .

salu2
#3
He mirado varias cosas sobre los ficheros

License.exe y License.dll

Si creas dos ficheros ficticios con esos nombres , al intentar abrir el programa nos da un error imagino por que realiza alguna peticion a esos fichero .Pero es curioso si cambiamos el fichero license.dll falso por otro como la dll de directx3d , el programa nos volvera a tirar la nag , esto me parece raro a mi ó es raro .

Son trasteos nada mas por que no he conseguido nada de nada .

Queria preguntarte una cosilla Shaddy .

Como descompilo ó debugeo un programa creado con unnamed scrambler , no encuentro nada mas que el encrypter unnamed scrambler .

Salu2
#4
Hola de nuevo,

Efectivamente tena con Rdg no funciona y tambien me habia fijado en la dll , pero esta pienso que la utiliza para los calculos en el programa y no tiene nada que ver con el put nag .

Tambien realice chequeos con filemon y regmon y con filemon no consegui localizar el fichero que dices ( Licence.exe) .

El regmon me abre muchas claves del registro y no tengo suficientes conocimientos para saber que hace , ademas no localice una clave que hiciese referencia unicamente a bobs , es decir , todas las claves aparecian con algo de windows y no queria urgar mucho hay .


Agradezco vuestra ayuda .
#5
Cuando cargo el programa en Reflector me dice
Module Programa does not contain a CLI header.

Esto quiere decir que el programa no es .net no ?


Le doy a la lupa para que busque las funciones , luego me posiciono encima del programa y no aparece nada de nada .

Que ocurre?


Una cosa mas .  Que programa mas bestia para desemsamblar codigo .net no ?

Jeejjej esto si es desensamblar un programa .

Salu2
#6
Hola ,

Gracias por la ayuda .

He bajado reflector , pero no se que hacer aqui nunca he oido hablar de este programa .

Voy a buscar info , pero si me puedes hechar una manita para saber que hace exactamente este programa .

Salu2
#7
NP

:laugh: :laugh: :laugh: :laugh:
#8
Hola,

Si ha caducado el nag que muestra lo dice claramente .

Lock System

The trial period has expired .

Tena ya te he enviado el link del programa .

Es este de todas formas .

http://www.gigasize.com/getcgi.php?t=373952fb8b31904e7b066dddc53a3b4e&d=r0nhbryy9kf

Salu2
#9
Hola,

1º Cargamos el programa en olly
2º Pulsamos Ctrl + G para ir a la direccion 0043C87D
3º Pulsamos F2 para crear un Breakpoint en esa direccion .
4º Pulsamos F9 para continuar el Debug .
5º Aparece la ventana de introducir el Serial .
6º Introducimos un serial cualquiera ejem( 1234567890 ) .
8º Olly se detiene en la direccion que pusimos el Breakpoint .
9º Pulsamos Barra Espaciadora y cambiamos el JE por JNE para decirle que haga la verificacion al reves , es decir, si el serial es malo lo valida y activa el programa .

10 º Pulsamos F9 y continuamos el Debug .

11 º Si todo ha ido correctamente el programa estara registrado y se podra dar paseos por todas las carreteras disponibles .


0043C861   .  FFD7                  CALL EDI
0043C863   .  8D86 385C0000         LEA EAX,DWORD PTR DS:[ESI+5C38]
0043C869   .  50                    PUSH EAX
0043C86A   .  8D8C24 04020000       LEA ECX,DWORD PTR SS:[ESP+204]
0043C871   .  51                    PUSH ECX
0043C872   .  FF15 8CA14900         CALL DWORD PTR DS:[<&MSVCP71.??$?8DU?$char_tra>;  MSVCP71.??$?8DU?$char_traits@D@std@@V?$allocator@D@1@@std@@YA_NABV?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@0@0@Z
0043C878   .  83C4 08               ADD ESP,8
0043C87B   .  84C0                  TEST AL,AL
0043C87D      0F84 44010000         JE SimExam2.0043C9C7
0043C883   .  68 B42C4A00           PUSH SimExam2.004A2CB4                         ;  ASCII "CODIGO CORRECTO"
0043C888   .  8D4C24 3C             LEA ECX,DWORD PTR SS:[ESP+3C]
0043C88C   .  FF15 80A04900         CALL DWORD PTR DS:[<&CEGUIBase.??0String@CEGUI>;  CEGUIBas.??0String@CEGUI@@QAE@PBD@Z
0043C892   .  8D5424 38             LEA EDX,DWORD PTR SS:[ESP+38]
0043C896   .  52                    PUSH EDX
0043C897   .  8BCD                  MOV ECX,EBP
0043C899   .  C68424 48020000 06    MOV BYTE PTR SS:[ESP+248],6
0043C8A1   .  FF15 CCA04900         CALL DWORD PTR DS:[<&CEGUIBase.?setText@Window>;  CEGUIBas.?setText@Window@CEGUI@@QAEXABVString@2@@Z
0043C8A7   .  8D4C24 38             LEA ECX,DWORD PTR SS:[ESP+38]
0043C8AB   .  889C24 44020000       MOV BYTE PTR SS:[ESP+244],BL
0043C8B2   .  FFD7                  CALL EDI
0043C8B4   .  68 842C4A00           PUSH SimExam2.004A2C84                         ;  ASCII "tl:FF000000 tr:FF000000 bl:FF000000 br:FF000000"
0043C8B9   .  8D8C24 D4000000       LEA ECX,DWORD PTR SS:[ESP+D4]
0043C8C0   .  FF15 80A04900         CALL DWORD PTR DS:[<&CEGUIBase.??0String@CEGUI>;  CEGUIBas.??0String@CEGUI@@QAE@PBD@Z
0043C8C6   .  68 782C4A00           PUSH SimExam2.004A2C78                         ;  ASCII "TextColours"

#10
Hola,

Gracias por tu ayuda amigo/a tena.

He intentado utilizar el DEDE pero el tema es que el programa a caducado y el DEDE no lo carga.

Te envio un privado con el link .


Salu2