Mensajes

gracias por la info.

 
de nada,
verás que en 5 minutos tienes el dump listo, y de camino practicas con el ImportREC arreglando la IAT y tambien con el Lord PE puedes practicar a reconstruir la cabecera PE de un ejecutable o archivo de volcado, con la opción Rebuild PE, para cuando te den errores algunos dumpeados.

Yako-_-, estás hecho un crack, ¡aprendes pronto!.

Bueno, el crakme tiene un poquito de mas complicación que los primeros en cuanto al serial, y con las pistas que has dao, es facil sacarlo en la segunda prueba, (se encuentra antes el serial bueno que el nombre, ), pero se ve que vas aprendiendo cosas nuevas y tu imaginación empieza a volar.

¡¡¡ sigue así !!!

Saludos.

para ganstarflowconsul: el safedisc y el trialware del installshield, proceden ambos de macrovision, por lo que puede que tengan algo en común, y en los que creo que se llega de la misma forma al OEP, pero para llegar al OEP con el archivo original descifrado, en el trialware tiene que estar en el periodo de evaluación, si no, no llega y aunque lo forcemos a llegar lo que tiene es basura, por lo que seguramente si fuerzas al safedisc a llegar al OEP, por eso te tira error, porque llega con solo basura, y seguramente tengas que hacer el dumpeado desde el OEP teniendo el programa en el cd original ó en una unidad virtual que emule la protección safedisc como el Daemon Tools.

No se si realmente pueda ser asi, es solo una idea ...

Aqui mi primer tutorial para newbie, de como eliminar el sistema trial-ware
del instalador installshield, a un archivo programado en Visual Basic. 


http://www.myupload.dk/showfile/5445092b508.rar/


Saludos.


LSL.

Tambien puedes usar IDR (http://kpnc.org/idr32/en/).

Esta muy bueno y aparte, detecta las llamadas a las librerias de las ultimas versiones de Delphi.

Saludos!

Muy bueno, y mas actualizado que el DeDe.

Definiciones para delphi 2009 recien salidas del horno, y se está trabajando con las definiciones para delphi 2010, que por ahora hay que esperar.

Desde aqui, muchas gracias a sus creadores, por esta magnifica herramienta, que ponen en nuestras manos gratuitamente.   

con el DeDe puedes ver las direccion offset de los eventos, tambien con la herramienta E2A de "[RAZIEL] & Guan de Dio", puedes ver las direcciones donde comienzan los formularios, así como la de los distintos eventos que contienen.

El programa original se trata de un Visual Basic, empacado con el installshield de Macrovision, la misma empresa de SafeDisc. Además de confirmarlo con El RDG Packer, si con OllyDbg lo attach cuando corre, con Alt-E (en los módulos ejecutables) ves que utiliza la librería MSVBVM60 clásica de VB.

Si recuerdas las palabras citadas no hace mucho en el tema de otro packer, por el "maestro" MCKSys Argentina: "La cosa se hace fácil, porque en todo VB6 el OEP es siempre de la misma forma: PUSH y CALL ThunRTMain..."

Así que podemos tratarlo como cualquier otro VB empacado, y buscarle su OEP clásico, desde el que dumpear.

Yo lo que he hecho, con esa idea inicial de encontrarle el OEP de VB, e improvisando por mi cuenta, fue attacharlo cuando estaba parado en la ventana del trial con los días de uso.
Una vez attachado con Olly, pulsas en run ó F9 para que siga corriendo el programa sobre el que hemos tomado el control, después me fui con Alt+M al "memory map", y observando las distintas secciones del programa, me pareció interesante la Sección "stxt371" identificada con el contenido de "code,imports", por lo que le puse un "set memory breakpoint on access" sobre dicha sección para que se detenga al leer el código de funciones importadas, pensando en las funciones del programa ajenas a las del installshield.

Volví al programa y pulse sobre el botón continuar que era el de finalizar, para terminar la capa de protección del installshield, y a continuación como estamos dentro del periodo del trial se ejecuta el programa original desempacado, y es entonces cuando al entrar en la sección de "code,imports", el OllyDbg hace la ruptura al leer de la sección, pero en la barra de titulo del Olly vemos que no estamos todavia en el modulo principal del programa, así que vamos dando F9 hasta que veamos en el titulo que estamos en el modulo con el nombre del ejecutable principal, a partir de aquí continúe traceando unas cuantas líneas con F8, hasta caer en el OEP clásico de VB que antes comentaba, el cual reconocí nada mas verlo "PUSH y CALL ThunRTMain" y si miras unas líneas mas arriba tienes la tabla de importaciones de la librería MSVBVM60; ya solo hacer el dump (en ese momento no tenia instalado el plugin de ollydump), por lo que utilicé el LordPE con su modo inteligente, y para arreglar la IAT con el ImportREC, y sin problemas al correr el dumpeado.

Esta fue mi forma de llegar al OEP de forma un poco improvisada, pero reconozco que la mejor forma para llegar al OEP de un VB es la del manual de MCKSys, no obstante pongo la que yo utilicé, por si es útil cuando el programa original no esté hecho en VB.

Para obtener un desempacado "casi" completo:

1) Abrir el EXE en Olly y en el EP hacer ALT+E para ir al listado de módulos.
2) De la lista seleccionar MSVBVM60.DLL y hacer doble-click para saltar al modulo.
3) Hacer CTRL+G y poner "ThunRTMain" (sin las comillas). En la dirección donde queda Olly, poner un BP con F2.
4) Ejecutar con F9 y cuando para en nuestro BP, colocarse sobre el primer valor de la pila y darle ENTER.
5) De la dirección que aparece en la ventana de CPU, escrolar 2 instrucciones hacia arriba (hasta el PUSH o mejor dicho, hasta 4070C8). Ese es nuestro OEP. Reconocemos que es el OEP de un programa hecho en VB6.
6) Colocar un HBP en esa dirección y hacer CTRL+F9 para reiniciar el programa.
7) Cuando reinicia, hacer ejecutar con F9 y cuando para en el HBP, dumpear con OllyDump y reconstruir IAT con ImpRec.

Encontre esto muy bueno por cierto: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1015-Cracking%20InstallShield%202008%20TryalWare%20en%205%20min%20by%20noukeys.pdf



Pero me desconecto de la red y el programa no me da la opcion de activar por email


un saludo

En este caso, es distinto pues no da opción a registrarte por ningun medio.

Así que le he dado un meneito en la batidora, he conseguido quitarle la protección y quedarme solo con el archivo exe desprotegido.

En principio ha sido muy facil, pero como no he encontrado ningun manual al respecto, Prometo manual.

http://foro.elhacker.net/ingenieria_inversa/ayuda_con_un_la_proteccion_de_un_programa_entren-t294010.0.html

pero si es lo que me imagino, no es un safedisc, sino un trial de installshield