Mensajes

La serie se guarda en C:\mvw\serie.dat , para ver como se forma el serial se debe llegar aqui:



de ahi puedes obtener el serial correcto para activarlo, sin importar el número de usuarios...



Puedes utilizar la API MessageBox para llegar al punto de comparación, otra forma seria interceptar la lectura de serie.dat buscando el string "serie.dat" en el programa, hay mas métodos, pero si no tienes experiencia lo primero es que leas el curso de Ricardo Narvaja (ollydbg desde 0).
Saluos.

Siempre y cuando sea lo único que me dediques 
Mejor si es de horas 4:00 - 8:00 (hora del foro), que es cuando toy en casa 
Saluos.

Asique si yo meto ese codigo en mi malware, para q cuando este analizandose en ollybdg cierre todo, bloquee teclado, elimine los puntos de restauracion, elimine archivos importantes para el inicio de el SO, y se reinicie forzosamente.. ahi puedes hacer algo? Teniendo en cuenta q vs no sabias q tenia este codigo, q solo te darias cuenta al intentar analizarlo y como dije antes pasaria todo eso y entonces no podrias hacer nada, q podes hacer ahi?

Esq yo decia para q no lo analizen, ya q desp de eso como consigues el malware otra vez?

Este programa esta protegido por un par de packers que en cuanto detectan al olly, te hacen causan algunos daños y luego reinician la pc, ya lo modifique para que no haga cambios en mi SO y tampoco reinicie, solo me falta eliminar un par de llamadas y podre desempacarlo para modificarlo  , como dije anteriormente los daños que cause no me preocupan en absoluto 

A eso me referia 43H4FH44H45H4CH49H56H45H(Codelive), Supongo que tienes 2 formas de debuguear, a mano (viendo linea por linea) y "ejecutando" cosa que ahi no te daras cuenta, y no hara nada "malo" para no levantar sospechas

Creo que en este caso debriamos dividir en dos tipos de análisis, puesto que si fuera un soft comercial obviamente yo notaria las diferencias cuando se ejecuta en Olly y cuando se ejecuta normalmente.

En caso de malware, la técnica cambia, puesto que para que harian un programa que haga nada o solo abra otro programa  ademas de que una de las caracterisiticas de la mayoria de los malware's es tener el menor tamaño posible.

No tiene sentido hacer un CrackMe si ya sabes la tecnica que utiliza para protegerse...

Que mejor si haces un Crack Me y vemos que tan dificil puede ser quitar esta u otra protección.

la dificultad de este metodo reside en que es desconocido, por lo tanto tu nunca sabrias en que parte del codigo se hace la busqueda del OllyDbg... asi que no podras parchear

Hay cientos de programas con técnicas desconocidas pero igual se van rompiendo sus protecciones,el que sea desconocida no implica que no sea crackeable...
En el caso de Vb, es uno de los mas sencillos de debuggear, uso Olly como una herramienta secundaria (en vb) que utilizo solo para la modificación, antes puedo utilizar vb decompiler, p32dasm, etc...
Si utilizo un decompiler (que hay varios), ahi ya puedo saber las Api's que utiliza el programa y tener una aproximacion de que es lo que hace para luego debuggearlo con Olly, de ahi es pan comido.

Solo los packers pueden dar una mayor protección, pero igual pueden vencerse 

Respecto a las acciones... imagina que infecto el calc.exe inyectando codigo en el binario original... añado la comparacion y si no estamos en el olly busco otros ejecutables e infecto, pero si estamos en el olly ejecuto el calc.exe con normalidad...

Tratandose de análisis de malware, en mi caso puedo utilizar regshot1_7_2, un fileSystemWatcher que tengo creado (uno en .NET, otro C++) con eso me bastaria para tener una aproximación de que hace el malware.


En conclusión primero debo saber que tipo de análisis hacer al programa, luego puedo descompilarlo para tener una aproximación de código, ejecutarlo para saber que cambios realiza en el sistema y por ultimo debuggearlo para modificar algunas cosas (si lo necesito). Esto puedo hacerlo en un VM o en mi mismo S.O. que esta preparado para eso, estos son algunos de los archivos que me toco analizar hace un tiempo para obtener el nivel de daño en un S.O.





Ninguno fue dificil 

Saluos.

Si el programa hiciera la "maldad" ya tendria el punto para empezar a buscar de donde se llamo a su funcion. Obviamente esto no tiene porque preocupar a cualquier persona que tenga un minimo de conocimiento de como proteger su equipo contra "maldades", pero viendo tu comentario tú si tendrias de que preocuparte 
Saluos.

Como escribi antes, el programa puede tomar una accion u otra (msgbox o finalizar el programa por ejemplo), pero a la final tendra que realizar algun prodedimiento que se puede interceptar.
Que mejor si haces un Crack Me y vemos que tan dificil puede ser quitar esta u otra protección.
Saluos 

En realidad saltarse este truco es muy sencillo  , solo viendo que api es llamada luego de que detecte a olly (eso deacuerdo al programa si lanza un msgbox o finaliza el programa por ejemplo) podemos llegar a la funcion que se encarga de la deteccion, para saltarse este truco solo basta lo siguiente:

Código (vb) [Seleccionar] Expandir

Option Explicit
'KERNEL32
Private Declare Sub GetStartupInfoW Lib "KERNEL32" (ByRef lpStartupInfo As Any)

'---------------------------------------------------------------------------------------
' Procedure : IsOdbg
' Author    : Karcrack
' Date      : 12/03/2011
' TestedOn  : OllyDbg 1.1 & OllyDbg 2.0.1(Alpha)
' Purpose   : Detect whether we are running inside OllyDbg or not.
'---------------------------------------------------------------------------------------
'
Public Function IsOdbg() As Boolean
    Dim bvStartupInfo(0 To 16)  As Long
    Call GetStartupInfoW(bvStartupInfo(0))
    IsOdbg = (bvStartupInfo(11) And &H80)
End Function


Private Sub Command1_Click()
If IsOdbg Then
MsgBox "Es Olly"
Else
MsgBox "No hay Olly"
End If
End Sub

Luego de encontrar la funcion que valida si olly esta presente, localizamos la Api que lo detecta, luego de colocar un BP, vemos lo siguiente:





Y solo basta con cambiar un numero  para que ya no lo detecte...





Saluos 

[Operaciones matemáticas básicas en vb6keygen DocCF - Software de Gestión Escolar]

Operaciones matemáticas básicas en vb6
keygen DocCF - Software de Gestión Escolar

Materiales:   Olly Parcheado 5
Victima :        DocCF - Software de Gestión Escolar  versión 2.2



Luego de instalar e ingresar al registro del programa colocamos un BP en vbaStrcomp cuando estamos en el form de registro y podemos ver que la comparación se realiza con el resultado de algunas operaciones matemáticas tanto del número que ingresamos como del número generado por el programa  y no con los números mismos.



Puesto que son operaciones matemáticas podemos utilizar vbaR8Str para ver de dónde saca los valores de comparación, traceando un poco se puede ver que obtiene los valores de

Código [Seleccionar] Expandir

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Grupo CF Developer\DocCF
y en mi caso los que nos interesan son los siguientes:
Setting1 = 10838093996047972805767
Setting3 = 10061210012438047703422

Seguimos traceando y vemos que utiliza los dos primeros números de Setting3 para sumarles 3 y luego 1 con FADDP los resultados de cada operación podemos verlos en ST0,ST1,ST2,... en Registers FPU



Seguimos traceando y vemos que la suma de los 2 primeros números de setting3 (10) + 3 + 1 = 14 es utilizado para obtener la siguiente subcadena para leer 3 caracteres a partir de ese número que en mi caso seria 1006121001243 804 7703422 el cual se resta de 999

Código [Seleccionar] Expandir

FSUBP
ST=804.00000000000028730
ST(1)=999.00000000000057460
--------------------------
195 (Resultado)
y el resultado es dividido entre 3:

Código [Seleccionar] Expandir

FDIVP
195 / 3
---------
65       // resulta a primera parte de la cadena de comparación

Bueno ya no utilizare imágenes, solo mostrare las operaciones que se realiza en la cadena de setting3.
Luego se suma con FADDP

Código [Seleccionar] Expandir

4 + 13
-----
17
el cual es utilizado para obtener la siguiente subcadena 1006121001243804 770 3422 luego se multiplica

Código [Seleccionar] Expandir

FUMLP
3*3 (el multiplicador equivale al número de caracteres que tiene la subcadena, en otros casos puede ser 4)
-----
9
se resta 9 de la subcadena previamente convertida a entero:

Código [Seleccionar] Expandir

FSUB RESTA
ST=9.0000000000000028730
ST(1)=770.00000000000028730
------------------------
761     //este número luego de convertirse a string se concatena a la primera parte de la cadena de comparación y quedaría  65761
Luego se realiza la suma

Código [Seleccionar] Expandir

FADDP
13+4
----
17
3+17=20    //que se usa para obtener la ultima subcadena.
1006121001243804770 3422
Luego de pasarlo a entero este se realiza la resta

Código [Seleccionar] Expandir

FSUBP
3422-5997
----------
2575   y el resultado se divide
FDIV DIVIDE
2575 / 5
--------
515     //obtenemos la ultima parte de la cadena de comparación 65761515
Ya tenemos las operaciones que se realiza a partir de setting3 y que forman la cadena de comparación.

Analizando Setting1
Luego de tracear un poco vemos que ingresa el valor de setting1 que es el número que necesitamos para validar el software en mi caso es Setting1 = 10838093996047972805767 utiliza los 2 primeros números, los pasa a entero, le suma 3 y 1 = 14
1083809399604 797 2805767

Código [Seleccionar] Expandir

810-797  = 13   /7 = 1,85714285714286  //Esta es la primera parte de la cadena de comparación
Luego de unas sumas se obtiene la siguiente subcadena  1083809399604797 2805 767 se multiplica:

Código [Seleccionar] Expandir

FUMLP  (4 equivale al número de caracteres que se tomo de la cadena original)
4*9=36    luego se resta:
FSUBP
2805-36 = 2769    //La segunda parte que se concatena a la cadena de comparación.
Luego de unas sumas se obtiene la última subcadena  10838093996047972805 767 la cual se resta:

Código [Seleccionar] Expandir

FSUBP
4005-767 = 3238     /3 = 1079,33333333333

Y queda UNICODE "1,8571428571428627691079,33333333333" la cual es comparada como vimos al comienzo:



Ya sabemos cómo realiza las operaciones ahora solo queda revertirlas, simplemente dividimos la cadena de comparación que en mi caso es 65761515 tomo el primer número 6 5761515 y lo multiplico por 7 y lo resto a 810 con eso ya tengo para sustituir:

Código [Seleccionar] Expandir

Valor que escribió el programa:  10838093996047972805767
Valor que se modificara:               1083809399604 768 2805767
Tomo los siguientes 4 números (6 5761 515)  y les sumo 36 quedara en 5797 y lo sustituyo
Valor que escribió el programa:  10838093996047972805767
Valor que se modificara:               1083809399604768 5797 767
Tomo los últimos 3 números (65761 515) multiplico por 3 y lo resto de 4005 dando como resultado 2460 cambiamos los últimos valores:
Valor que escribió el programa:  10838093996047972805767
Valor que se modificara:  10838093996047685797 2460
Y ya tenemos nuestra serie armada 108380939960476857972460 lista para probar, así que ya podemos realizar el keygen.





Hay una variable más dependiente de la fecha que hace variar el numero de caracteres que lee para la multiplicación y resta de la 2da parte de las operaciones, como este tutorial está hecho para los que les interesa la Ingeniería Inversa, no lo especifico porque al tracear verán a que me refiero y así evitamos que algunas personas obtengan el serial valido solo copiando el tutorial sin aprender nada.

Para probar el string (en mi caso 65761515) que el programa genera para la comparación hice un pequeño programa en c++ para demostrar  el análisis hecho.

Código (cpp) [Seleccionar] Expandir

#include <iostream>
#include <string>
#include <sstream>
#include <windows.h>
int iValor(std::string cad);
std::string sValor(int num);
std::string leerValorREG_SZ(HKEY Registry, const std::string &sClave, const std::string &sValor);
char *cRetorno(const std::string &sSource);
int main()
{
std::string sClaveReg ="Software\\VB and VBA Program Settings\\Grupo CF Developer\\DocCF";
std::string sValorReg ="Setting3";
std::string sInfoRegistro = leerValorREG_SZ(HKEY_CURRENT_USER,sClaveReg,sValorReg);
std::string sResult = "";
std::string sNumeroBuscado = "";
// Asignamos a un entero los primeros 2 numeros
int iInicio = iValor(sInfoRegistro.substr(0,2).c_str())+3;
int iResult = 0;
//Asignamos a un string 3 numeros a partir de iInicio y convertimos en un entero
sResult = sInfoRegistro.substr(iInicio,3);
iResult = (999 - iValor(sResult))/3;

//añadimos el valor de la 1ra operacion a el string que contendra el numero buscado
sNumeroBuscado.append(sValor(iResult));

//procesamos la siguiente subcadena, asignamos a un string, luego a un entero y realizamos la 2da operacion
//añadimos el valor de la 2da operacion a el string que contendra el numero buscado
iInicio = iInicio + 3;
sResult = sInfoRegistro.substr(iInicio,3);
iResult = iValor(sResult)-9;
sNumeroBuscado.append(sValor(iResult));

//procesamos la ultima subcadena, asignamos a un string, luego a un entero y realizamos la 3era operacion
//añadimos el valor de la 3ra operacion a el string que contendra el numero buscado
iInicio = iInicio + 3;
sResult = sInfoRegistro.substr(iInicio,4);
iResult = (5997 - iValor(sResult))/5;
sNumeroBuscado.append(sValor(iResult));

//Imprimimos el numero buscado el que debera compararse con el resultado del setting1
std::cout << sNumeroBuscado << std::endl;
std::cin.get();
return EXIT_SUCCESS;
}
int iValor(std::string cad)
{
int temp = atoi(cad.c_str());
return temp;
}
std::string sValor(int num)
{
std::string sTemp;
std::stringstream ssTemp;
ssTemp << num;
sTemp = ssTemp.str();
return sTemp;
}
std::string leerValorREG_SZ(HKEY Registry, const std::string &sClave, const std::string &sValor)
{
unsigned char infoValor [1024];
char infocadena [1024];
std::string sClaveLeida="";
HKEY hKey;
LONG lStatus;
    DWORD dwType;
    DWORD dwSize;
    dwType=REG_SZ;
    dwSize=1023;
int i=0;
lStatus = RegOpenKeyEx(Registry,cRetorno(sClave),0,KEY_READ,&hKey);
    if (lStatus == ERROR_SUCCESS)
    {
         lStatus = RegQueryValueEx(hKey,cRetorno(sValor), 0,&dwType, (LPBYTE)&infoValor, &dwSize);
         if (lStatus == ERROR_SUCCESS)
         {  
for(i=0;infoValor[i]!=0 && infoValor[i]!=204;i++)
{
  infocadena[i]=(char)infoValor[i];
}
infocadena [i]='\0';
sClaveLeida.assign(infocadena);
RegCloseKey(hKey);
return sClaveLeida;
         }  
      }
     RegCloseKey(hKey);
     return "No se puede obtener el valor";
}
char *cRetorno(const std::string &sSource)
{
int iTotal = strlen(sSource.c_str());
char *temp = new char[iTotal+1];
strncpy_s(temp,iTotal+1, sSource.c_str(),iTotal+1);
temp[iTotal]='\0';
return temp;
}

Para que funcione en las propiedades del proyecto debe cambiarse Juego de caracteres = Utilizar juego de caracteres multibyte.
Y bueno ya es tarde por aqui, asi que si se me paso algo o si hay alguna duda favor avisar 
Saluos 

PD: Favor de no enviarme pedidos del Keygen por MP o en este tema  puesto que lo visto ahora es solo de caracter educativo para los que practican la Ingeneria Inversa y no para personas particulares que buscan activar este programa  .

Bueno por si a alguien le sirve dejo el source de un programita que hice para navegar en las bases de datos de algun servidor con MySql, puesto que ya existe mas de uno para windows, pero no encontre uno sencillo para Linux entonces me decidi a crearlo, mas que todo su uso esta destinado cuando se obtiene algun usuario y password para una BD o si se logra crear alguno por inyeccion SQL.
Todavia no estan implementados los threads para su uso, esto porque al menos en slackware no se nota el proceso de conexion y listado, pero en Windows si se nota un poco,

El code esta un poco desordenado y falta pulir algunas cosas, mas que todo respecto a las clases que utiliza, pero lo dejo por si alguien quiere mejorarlo o modificarlo.

Para windows se necesita compilar el plugin de mysql para que cargue el driver de conexion, el modo de hacerlo se lo encuentra con google.

Enlace de decarga del proyecto:
http://www.4shared.com/file/MxfRUC9d/MySql2tar.html

Unas capturas:





Saluos.

Bueno de pasadita:

Código [Seleccionar] Expandir

Microsoft Unified SecurityProtocol Provider.vos.2.ˆ.driver={SQL Server};
server=succoosemig;
uid=sa;
pwd=srhv;
database=Grau.t
o database=Grau



00165E58                          4D 00 69 00 63 00 72 00          M.i.c.r.
00165E68  6F 00 73 00 6F 00 66 00 74 00 20 00 55 00 6E 00  o.s.o.f.t. .U.n.
00165E78  69 00 66 00 69 00 65 00 64 00 20 00 53 00 65 00  i.f.i.e.d. .S.e.
00165E88  63 00 75 00 72 00 69 00 74 00 79 00 20 00 50 00  c.u.r.i.t.y. .P.
00165E98  72 00 6F 00 74 00 6F 00 63 00 6F 00 6C 00 20 00  r.o.t.o.c.o.l. .
00165EA8  50 00 72 00 6F 00 76 00 69 00 64 00 65 00 72 00  P.r.o.v.i.d.e.r.
00165EB8  00 00 76 00 6F 00 73 00 13 00 0D 00 32 01 08 00  ..v.o.s....2.
00165EC8  88 00 00 00 64 00 72 00 69 00 76 00 65 00 72 00  ˆ...d.r.i.v.e.r.
00165ED8  3D 00 7B 00 53 00 51 00 4C 00 20 00 53 00 65 00  =.{.S.Q.L. .S.e.
00165EE8  72 00 76 00 65 00 72 00 7D 00 3B 00 73 00 65 00  r.v.e.r.}.;.s.e.
00165EF8  72 00 76 00 65 00 72 00 3D 00 73 00 75 00 63 00  r.v.e.r.=.s.u.c.
00165F08  63 00 6F 00 6F 00 73 00 65 00 6D 00 69 00 67 00  c.o.o.s.e.m.i.g.
00165F18  3B 00 75 00 69 00 64 00 3D 00 73 00 61 00 3B 00  ;.u.i.d.=.s.a.;.
00165F28  70 00 77 00 64 00 3D 00 73 00 72 00 68 00 76 00  p.w.d.=.s.r.h.v.
00165F38  3B 00 64 00 61 00 74 00 61 00 62 00 61 00 73 00  ;.d.a.t.a.b.a.s.
00165F48  65 00 3D 00 47 00 72 00 61 00 75 00 00 00 74 00  e.=.G.r.a.u...t.
00165F58  15 00 13 00 01 01 0C 00 90 3B 11 77 58 3C 11 77

No lo vi detallado, talvez @karmany si tiene tiempo pueda dar un analisis mas detallado.

Saluos.

Pues siendo concreto : planteé la idea de ofrecer una garantia sobre algo que pueda dañar mi equipo por falta de medios bajo Windows. Lo denomino como "burrada" lo dicho POR MI, quede esto claro, porque considero igual de burrada el que me vendan un software con estas taras de seguridad CONOCIDAS incluso antes de sacar un producto de Microsoft en algún caso.

En ese caso habría que pedir ese tipo de garantía a la compañia de electricidad, obviamente uno o más bajones o cortes de electricidad pueden dañar un equipo, igualmente a las ISP's que permiten descargar cualquier archivo de internet que tb pueden dañar tu equipo y demás...

Como verás eso es independiente del S.O. , tanto para Windows, Linux, Unix, etc.
Hay tanto software legal que por mal uso pueden dañar tu equipo y las causas pueden ser tantas, empezando del mismo usuario, el hardware, programas, etc.

Saludos.