Mensajes

Bueno, simplemente eso, saludar...

Espero aprender tanto como para ayudar a alguien mas

Saludos!

Pues aprende rapido, que andamos necesitados. 
Me alegra verte por aqui 
Saludos,

Muchas gracias karmany.
Saludos,

Mintaka

Yo estoy usando Malwarebytes y parece que alguno agarra.Es free, fácil de usar y te lo puedes bajar de aquí:

http://www.malwarebytes.org/

Suerte,

Mintaka

PD:Por cierto, ¿con qué compilador se hizo la víctima?.

Arg!!!!, mil perdones por no poner el enlace al plugin en cuestión.
Menos mal que el amigo karmany está pendiente.Muchas gracias.
Para mitigar mi error, aquí les dejo un enlace de los muchos plugins que existen para agilizar nuestros estudios con Ollydbg:

http://www.tuts4you.com/download.php?list.9

Saludos,

Mintaka

Hola.
Cuando encuentro problemas de ese tipo recurro al plugin LCB que hizo cherzo y ese no me ha fallado nunca.
Suerte,

Mintaka

Hola a tod@s.
Igual es mas fácil reventar la protección de la mochila que andar reprogramando, emulando y cosas de esas.
Si se pudiera descargar, igual lo analizabamos y si eso, te damos pistas.
Saluducos,

Mintaka

A la primera pregunta te diré que si el programador ha cifrado las "cadenas" o bien el programa está empaquetado, no se podrán ver en un listado muerto.Cuando el programa esté ejecutándose en memoria, entonces las desencriptará y sí serán visibles.
Y respecto a la segunda pregunta, me consta que la version 1.93 de syser (por ejemplo), no era registrable y me la había descargado con su keygen.

Mintaka

alguien tubo mas avances? yo mucho no pude tocar pero esta noche me metoi a ver que saco!, con respecto al usuario anterior he viste osos mensajes pero omo tu dices solamente cambia la leyende y eso no nos sirve! jajaja 
pero yo creo que no es imposible crackearlo, para mi lo que hace cuando ingresan la serial bien es agregar un registro (en el de windows por supuesto) y debe generar algun archivo.
de ultima por el tema de la comparacion del crc que debe tener! y mas que seguro que lo tiene!!! taria bueno averiguar el serial real, entonces no tenemos que modificar nada del codigo aunque este varie de pc en pc pero estaria bueno hacer tipo un keygen. aunque se nos hace dificil encontrar el serial!!!
una pregunta alguien sabe como ver de donde empieza a ejecutar inmediatamente despues de hace click en el boton de aceptar de la ventana del serial?
bamos que no nos puede ganar esta porqueria!!! 

Hola nutriax:
Te voy a dar mi opinión, despues de estar mirandolo en los ratos libres que tengo.

1.- La protección considero que está muy bien elaborada contra los curiosos como nosotros.Para mí, no es una pavada.Claro está que a mí, me queda mucho por aprender.Los caracteres esos que vemos, como por ejemplo (hay varios):
"BD517269E31504141FED089FDD1734"
creo que los usa para desenmascarar o descifrar los datos que tiene del usuario y máquina, almacenados en:

C:\Documents and Settings\All Users\Datos de programa\HB++

Sobretodo llama la atención un tal license.dat 

2.-El anti-traza que tiene para evitar monitorizarlo lo vigila con la API:

kernel32.GetTickCount

3.-Lo del CRC yo creo que no es esa la comprobación que hace, sinó una propia para vigilar la integridad de su exe, que tenemos en el HD.Está duro de pelar porque lo hace a través de un hilo que crea y que el ejecutable consulta (supongo que para eso y para otras cosas más).En todo caso vi que cambiando un condicional se soluciona el tema, pero sería a través de un injerto y cuando haya creado la sección que contiene el hilo asesino.Por cierto ese código asesino lo va colocando después de reservar un trozo de memoria.La reserva la hace aquí:

00445A60  |.  FF15 10354700   CALL DWORD PTR DS:[<&KERNEL32.VirtualAlloc>]

en la pila podemos ver los detalles:

0012FC38   00000000  |Address = NULL
0012FC3C   00000F24  |Size = F24 (3876.)
0012FC40   00001000  |AllocationType = MEM_COMMIT
0012FC44   00000040  \Protect = PAGE_EXECUTE_READWRITE

A la vuelta, en el registro EAX, tenemos la dirección a partir de la cual, posteriormente, meterá su código espía.Este valor, que devuelve en EAX, es variable (creo que usa dos direcciones indistintamente alternándolas cada dos o tres ejecuciones) y por supuesto, en cada máquina será diferente.

4.-El mensaje del chico malo nos lo muestra a través de la API MessageBoxW y lo ejecuta aquí:

0042E5A1   .  FF15 38374700 CALL DWORD PTR DS[<&USER32.MessageBoxW>]

en ese momento en la pila vemos:

0012F878   000603D8  |hOwner = 000603D8 ('Handheld Basic ++',class='HbMain')
0012F87C   00D33A40  |Text = "The key you entered is invalid."
0012F880   00D37640  |Title = "Handheld Basic ++"
0012F884   00000010  \Style = MB_OK|MB_ICONHAND|MB_APPLMODAL

Como puedes ver no está en las secciones propias del ejecutable y por eso no aparece en las strings referenced.Por lo tanto debemos ir hacia atrás y ver cuando decide ponerlo.
Me gusta y por eso seguiré informando de mis avances y por supuesto leyendo los vuestros también.
Suerte,

Mintaka

Aparte de los que te ha comentado karmany tienes este otro que de cuando en cuando van actualizando:

http://www.exeinfo.xwp.pl/

Mintaka

Hola a tod@s.
Mira a ver si te pueden ayudar estos otros dos tutoriales:

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/901-1000/911-Evadiendo%20StrongNames%20de%20.NET%20con%20OllyDbg%20-%20por%20marciano.rar

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1041-StrongNames%20y%20Reflexil.rar

Suerte,

Mintaka