¿ En qué lenguaje está el EXE ?
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#5231
Ingeniería Inversa / Re: necesito sacar el codigo fuente de una aplicación
19 Mayo 2010, 22:55 PM #5232
Ingeniería Inversa / Re: El OllyDBg no me deja abrir este exe de 500kb (¿Compressed Code?)
18 Mayo 2010, 23:24 PM
Bueno, lo estuve mirando un poco y saqué lo siguiente:
Para obtener un desempacado "casi" completo:
1) Abrir el EXE en Olly y en el EP hacer ALT+E para ir al listado de modulos.
2) De la lista seleccionar MSVBVM60.DLL y hacer doble-click para saltar al modulo.
3) Hacer CTRL+G y poner "ThunRTMain" (sin las comillas). En la dirección donde queda Olly, poner un BP con F2.
4)Ejecutar con F9 y cuando para en nuestro BP, colocarse sobre el primer valor de la pila y darle ENTER.
5) De la dirección que aparece en la ventana de CPU, escrolar 2 instrucciones hacia arriba (hasta el PUSH o mejor dicho, hasta 4070C8). Ese es nuestro OEP. Reconocemos que es el OEP de un programa hecho en VB6.
6) Colocar un HBP en esa direccion y hacer CTRL+F9 para reiniciar el programa.
7) Cuando reinicia, hacer ejecutar con F9 y cuando para en el HBP, dumpear con OllyDump y reconstruir IAT con ImpRec.
Ahora, por lo poco que he visto, este EXE tiene algunas "trampas". Por ejemplo, la IAT de un programa hecho en VB6 (como este) sólo tiene llamadas a la DLL MSVBVM60.DLL. Pero este tiene llamadas a GDI32 y OPENGL32. Asi que habrá que analizar porqué estas entradas están así.
Bueno, por lo pronto, ya tienes algo más con lo que poder continuar...
Saludos!
EDITADO
Para obtener un EXE funcional, conviene recontruirlo con LordPE.
Al final, sólo quedará una entrada "mala" en la IAT. Esta entrada apunta a una sección del packer. Fíjate en el dumpeado la función que está en 4F4E90. Esa función llama a esa entrada de la IAT. Además podrás ver cosas "interesantes" en la misma función (como por ej, la cadena ".key" e "lkey15"
)
Si analizas esa función, seguro lo sacas....
Para obtener un desempacado "casi" completo:
1) Abrir el EXE en Olly y en el EP hacer ALT+E para ir al listado de modulos.
2) De la lista seleccionar MSVBVM60.DLL y hacer doble-click para saltar al modulo.
3) Hacer CTRL+G y poner "ThunRTMain" (sin las comillas). En la dirección donde queda Olly, poner un BP con F2.
4)Ejecutar con F9 y cuando para en nuestro BP, colocarse sobre el primer valor de la pila y darle ENTER.
5) De la dirección que aparece en la ventana de CPU, escrolar 2 instrucciones hacia arriba (hasta el PUSH o mejor dicho, hasta 4070C8). Ese es nuestro OEP. Reconocemos que es el OEP de un programa hecho en VB6.
6) Colocar un HBP en esa direccion y hacer CTRL+F9 para reiniciar el programa.
7) Cuando reinicia, hacer ejecutar con F9 y cuando para en el HBP, dumpear con OllyDump y reconstruir IAT con ImpRec.
Ahora, por lo poco que he visto, este EXE tiene algunas "trampas". Por ejemplo, la IAT de un programa hecho en VB6 (como este) sólo tiene llamadas a la DLL MSVBVM60.DLL. Pero este tiene llamadas a GDI32 y OPENGL32. Asi que habrá que analizar porqué estas entradas están así.
Bueno, por lo pronto, ya tienes algo más con lo que poder continuar...
Saludos!
EDITADO
Para obtener un EXE funcional, conviene recontruirlo con LordPE.
Al final, sólo quedará una entrada "mala" en la IAT. Esta entrada apunta a una sección del packer. Fíjate en el dumpeado la función que está en 4F4E90. Esa función llama a esa entrada de la IAT. Además podrás ver cosas "interesantes" en la misma función (como por ej, la cadena ".key" e "lkey15"
)Si analizas esa función, seguro lo sacas....
#5233
Ingeniería Inversa / Re: ayuda con un la proteccion de un programa entren
18 Mayo 2010, 21:30 PM
Hola!
Aqui está el Grupo Crackslatinos: http://groups.google.com/group/CrackSLatinoS
Saludos!
PD: Te aconsejo escribir mejor la próxima vez, más aún si pides ayuda. Es difícil leer de esta forma...
Aqui está el Grupo Crackslatinos: http://groups.google.com/group/CrackSLatinoS
Saludos!
PD: Te aconsejo escribir mejor la próxima vez, más aún si pides ayuda. Es difícil leer de esta forma...
#5234
Ingeniería Inversa / Re: VB .Net decompilado, necesito quedarme con un trozo de codigo en el EXE.
15 Mayo 2010, 20:55 PM
Podrias poner un salto incondicional (jmp) a las instrucciones para asi ejecutar sólo lo que quieres.
Seria algo asi:
Creo que el valor AC es correcto (172 bytes) pero verifícalo por las dudas.
No he probado este código, pero es una idea...
Saludos!
Seria algo asi:
Código [Seleccionar]
IL_0000 2B AC br.s IL_00ae
-- aqui va el codigo original
Creo que el valor AC es correcto (172 bytes) pero verifícalo por las dudas.
No he probado este código, pero es una idea...
Saludos!
#5235
Ingeniería Inversa / Re: Ayuda con el generador para PHP Generator for MySQL de SQL Maestro Group
14 Mayo 2010, 21:48 PM
Hola!
No puedes pedir cracks. Está prohibido...
Bueno... corregido!
Bueno... corregido!
#5236
Ingeniería Inversa / Re: modificar programa para que no cuente reinicios
14 Mayo 2010, 05:53 AM
Mira tus MP's...
#5237
Ingeniería Inversa / Re: modificar programa para que no cuente reinicios
14 Mayo 2010, 05:33 AM
Y qué necesitas tú?? La contraseña que emite?
Porque este programa no hace mucho que digamos....
Porque este programa no hace mucho que digamos....
#5238
Ingeniería Inversa / Re: modificar programa para que no cuente reinicios
14 Mayo 2010, 05:26 AM
Hola!
Viéndolo rápido, si borras la clave del registro siguiente
conseguirás reiniciar el contador.
Ya con eso puedes seguir usando el soft. Luego lo veré con más tiempo...
Saludos!
Viéndolo rápido, si borras la clave del registro siguiente
Código [Seleccionar]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NoriKokiconseguirás reiniciar el contador.
Ya con eso puedes seguir usando el soft. Luego lo veré con más tiempo...
Saludos!
#5239
Programación Visual Basic / Re: Como actualizar filas que contienen la misma id?
14 Mayo 2010, 05:05 AM
Coincido con Alex@ShellRoot.
Ahora, quizás podrías agregar algún otro campo al SQL para diferenciar uno del otro.
(Aunque si lo piensas bien, si la suma de esos 2 campos te permite hacer una clave única, convendría definir la misma como clave primaria
)
Saludos!
Ahora, quizás podrías agregar algún otro campo al SQL para diferenciar uno del otro.
(Aunque si lo piensas bien, si la suma de esos 2 campos te permite hacer una clave única, convendría definir la misma como clave primaria
)Saludos!
#5240
Ingeniería Inversa / Re: modificar programa para que no cuente reinicios
14 Mayo 2010, 04:58 AM
Hola!
Si subes un link de descarga del instalador, podríamos verlo y así ayudarte...
Saludos!
Si subes un link de descarga del instalador, podríamos verlo y así ayudarte...
Saludos!