Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - MCKSys Argentina

#5551
Todavia nop. No he tenido tiempo.

Paciencia!  ;D

Saludos!


#5552
Ingeniería Inversa / Re: que sugerencia me dan?
18 Noviembre 2009, 20:45 PM
Hola!

Pues, pon un link de descarga asi podemos ayudar un poco mas...

De palabra, todavia no se puede curar! (Al menos no en este rubro ;D)

Saludos!
#5553
Hola paulmichel21.

Lamento no poder ayudarte con lo tuyo pues ni siquiera se usar este!  :)

Quizas CITROMAN pueda...

Saludos!


#5554
Nooo, que va..

Pero ya tengo el desempacado funcionando...

Algo es algo :)

Saludos!


#5555
Hola!

Si. No sé si cifrado, pero codificado, seguro.

En estos dias lo iré mirando y te cuento...

Saludos!


#5556
Hola!

Te cuento un poco del EXE. Está empacado con tElock v0.98. e conseguido desempacarlo exitosamente, pero el EXE "detecta" el desempacado, por ello estoy haciéndole modificaciones.

Pero, bueno, la mejor noticia, es que he conseguido hacerlo correr libremente, al empacado y al desempacado.

Hay 2 lugares, en el EXE, donde se automodifica el código. La 1era parte (D2A606) se realiza cuando se intenta ingresar el serial de registración. Que por cierto, PARECE que la primera palabra "correcta" es AK47GDLL (me parece que al programador le gusta el Counter Strike ;))
La 2da parte (D2A946), es cuando le das al botón de Ingresar al programa. Aqui es donde el programa detecta el desempacado. Utilizando esta "desencriptacion" de código, consigue "ver" que ha sido desempacado y genera una excepcion quetermina el proceso.

Usando el depurador, se pueden tener las 2 versiones del programa corriendo (empacada y liberada) y asi, ver dónde radica la diferencia (que es sólo en 2 bytes ;))

Bueno, hasta ahora eso tengo (quizas un poco mas, pero no quiero decir nada hasta no estar seguro).

Por lo pronto, la idea es: utilizar el proceso de desencriptacion del código usado para ingresar al programa, para poder determinar una clave de registro correcta. Lo cual es lógico, pues la rutina de desencriptacion de código es la misma en ambos casos.

Bueno, eso es todo por ahora.

Sigo mirando y si hay noticias, les cuento  :P

Saludos!



#5557
Hola!

Cualquier editor Hexadecimal debería servirte para abrir el archivo (UltraEdit, WinHex, ect)

De todas formas, le voy a pegar una miradita al soft, a ver que sale.

PD: Quizas deberías haber posteado esto en Ingeniería Inversa...

Saludos!

#5558
Hola!

Pues, luego de leer lo que has puesto, debo decirte que tu enfoque de la Ingenieria Inversa, no está del todo correcto (ojo!, al menos para mi).

El acercamiento que has planteado, es el de un programador intentando "ver" las protecciones del programa.

Como consejo, aprende primero a utilizar el debugger y las herramientas que "vienen" con el (RDG, PEiD, LordPe, ImpRec, etc,etc). Te recomiendo el curso "OllyDbg desde cero" de Ricardo Narvaja.

Desde el punto de vista que has empezado, puede ser que logres saltear la proteccion, pero normalmente, NO es asi (aunque debo admitir, que saber programar, ayuda MUCHO en este "arte"  ;))

Aunque sólo es una opinión... :)

Saludos!

PD: Cualquier pregunta, ya sabes, estamos aqui... ;D
PD2: Lo voy a descargar para darle una miradita ;)


#5559
Ingeniería Inversa / Re: UPX scrambler y obsidium??
14 Noviembre 2009, 04:03 AM
Hola!

La verdad, nunca me enfrenté a ese packer (y tampoco escuché de él :()

Lo que te puedo sugerir, son las teorías 312, 731 y 887 de la web de Ricardo Narvaja. Estas tratan el tema de enfrentar packers desconocidos.
Las teorías están aqui:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/

Espero te sean útiles  :D

Saludos!


#5560
Ingeniería Inversa / Re: UPX scrambler y obsidium??
13 Noviembre 2009, 14:59 PM
Hola!

También puedes saltearlo con Olly, usando el método del PUSHAD-POPAD. El UPX scrambler, es en teoría, lo mismo que UPX, pero modificado.

Con el método anterior, el OEP queda muy cerca. Sólo debes tracear un poco mas, hasta encontrar el "JMP largo".

Saludos!