Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - MCKSys Argentina

#4641
Con Passware Password Recovery Kit lo sacas en 2 patadas. (Es pago, asi que debes buscar uno 'gratis'  ;D)

Saludos!
#4643
Fijate esto: http://msdn.microsoft.com/en-us/library/windows/desktop/aa813706(v=vs.85).aspx

Este es el campo interesante: http://msdn.microsoft.com/en-us/library/windows/desktop/aa813708(v=vs.85).aspx

De ese array (InMemoryOrderModuleList) sale el listado de modulos cargados (el mismo que usa Olly)

Ni te digo si te pones a jugar con eso...  ;)

Saludos!
#4644
Porque usas W32Dasm? Es muy viejo... Mejor usa Olly o IDA.

Si necesitas mas informacion, no dejes de pasar por aqui: http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html

Saludos!
#4645
Debes buscar el lugar donde hace los chequeos.

Si el chequeo lo hace contra el EXE original, puedes poner un BP en CreateFile y ver cuando se abre a si mismo. Desde ahi puedes tracear hasta el lugar del chequeo per-se.

Ahora, si hace el chequeo en memoria, es mas dificil de encontrarlo. Deberas tracear haci atras desde el punto donde hace todas esas "cosas raras" que has dicho.

Saludos!
#4646
Quizas lo que esta detectando es el desempacado y no el debugger...
#4647
Cita de: elshaker en  6 Febrero 2012, 05:13 AM
necesito ayuda urgente con una clave md5, es distinto a los otros md5

Es md5 o no es? Me parece que no tienes bien en claro que significa md5: http://en.wikipedia.org/wiki/MD5

Y si es por sacar un algoritmo de encriptacion que NO es md5, solo es cuestion de reversear el codigo...

Saludos!
#4648
Coincido con Karcrack.

Toda la cosa radica en "no avivar al cracker".

Si el salto es determinante en la rutina de registracion, es lo primero que se va a buscar. Ahora, si la rutina de registracion la partes en varios lados del EXE y la ejecutas en etapas.. pues, es mas complicado.

Un ejemplo seria tener 2 chequeos: El primero es complicadito y una vez pasado, muestra un mensaje diciendo "Todo bien!"
El 2do chequeo se realiza en otro lado y nunca inmediatamente despues del primero (una idea seria en la siguiente ejecucion del proggie).
Este chequeo no muestra mensajes, pero se encarga de verificar la veracidad del registro. Si no es correcto, entonces como te dije antes, modifica cosas (variables, bases de datos, pero nada que pueda "VERSE") para que el proggie siga funcionando, pero lo haga de una forma incorrecta.

No es sencillo darte tips si no se que hara el proggie, pero la idea basica es complicar lo mas posible la cosa...

Saludos!
#4649
Bueno, puedes quejarte con Oleh Yuschuk al respecto...  ;D

Ten en cuenta que en ese lugar estas en un dump de memoria. Y esta podria ser del ejecutable como de cualquier otro sector (por ej. el heap, el stack o bien pertenecer a otro modulo).

Si bien Olly podria detectar que esa memoria pertenece al EXE en ese lugar, ya lo hace en la ventana de dump, asi que.... como dije al principio: las quejas van para el autor... :)

Saludos!
#4650
Cita de: t4r0x en  2 Febrero 2012, 22:08 PM
no hay otra forma mas facil :| ?

A que le llamas ""mas facil" ?