Mensajes

Aquí lo dejo.

No creo que se pueda ejecutar porque supongo que le faltarán dll pero por lo menos podéis ver como va el tema. EL instalador ocupa demasiado espacio y adicionalmente creo que no sería muy legal... (creo que pasar el ejecutable no es ilegal porque no se va a usar como tal). No obstante si los moderadores lo consideran elimino inmediatamente el link.


edito: Soy más tonto que una nuez, se me olvidaba, el rar tiene pass: foroelhacker
Gracias

http://bitshare.com/?f=00d6b01z

Ya suponía que no sería un packer fácil.

A ver si mañana tengo un rato y subo alguno de los ejecutables, el que menos ocupe. Aunque se salga de mis posibilidades para poder unpackearlo a ver si por lo menos alguno de vosotros me quita la curiosidad de saber cual es.

No obstante haré también lo que dice apuromafo a ver que sale y ya os cuento.

Gracias a todos.

Hola de nuevo.

apuromafo:

Cuando dices que ponga las primeras lineas del entrypoint imagino que te refieres al entrypoint "falso" el de antes de desempaquetado, así que ahí van:


018FC000 >  83C2 04         ADD EDX,4
018FC003    FFF4            PUSH ESP
018FC005    8D6424 FC       LEA ESP,DWORD PTR SS:[ESP-4]
018FC009    890C24          MOV DWORD PTR SS:[ESP],ECX
018FC00C    29C3            SUB EBX,EAX
018FC00E    FFF2            PUSH EDX
018FC010    832C24 04       SUB DWORD PTR SS:[ESP],4
018FC014    83EA 04         SUB EDX,4
018FC017    01F5            ADD EBP,ESI
018FC019    FFF3            PUSH EBX
018FC01B    010424          ADD DWORD PTR SS:[ESP],EAX
018FC01E    01C3            ADD EBX,EAX
018FC020    83C0 4D         ADD EAX,4D
018FC023    FFF0            PUSH EAX
018FC025    832C24 4D       SUB DWORD PTR SS:[ESP],4D
018FC029    83E8 4D         SUB EAX,4D
018FC02C    83C7 77         ADD EDI,77
018FC02F    FFF5            PUSH EBP
018FC031    293424          SUB DWORD PTR SS:[ESP],ESI
018FC034    29F5            SUB EBP,ESI
018FC036    8D6424 FC       LEA ESP,DWORD PTR SS:[ESP-4]
018FC03A    893424          MOV DWORD PTR SS:[ESP],ESI
018FC03D    FFF7            PUSH EDI
018FC03F    83EF 77         SUB EDI,77
018FC042    832C24 77       SUB DWORD PTR SS:[ESP],77
018FC046    314424 1C       XOR DWORD PTR SS:[ESP+1C],EAX
018FC04A    334424 1C       XOR EAX,DWORD PTR SS:[ESP+1C]
018FC04E    314424 1C       XOR DWORD PTR SS:[ESP+1C],EAX
018FC052    314424 0C       XOR DWORD PTR SS:[ESP+C],EAX
018FC056    334424 0C       XOR EAX,DWORD PTR SS:[ESP+C]
018FC05A    314424 0C       XOR DWORD PTR SS:[ESP+C],EAX
018FC05E    E8 12000000     CALL Lololo.018FC075
018FC063    C3              RETN
018FC064    DB2D 00000000   FLD TBYTE PTR DS:[0]
018FC06A    C3              RETN
018FC06B    FFFF            ???                                      ; Unknown command
018FC06D    FFFF            ???                                      ; Unknown command
018FC06F    FFFF            ???                                      ; Unknown command
018FC071    FFFF            ???                                      ; Unknown command
018FC073    3D 408B2C24     CMP EAX,242C8B40
018FC078    8D6424 04       LEA ESP,DWORD PTR SS:[ESP+4]
018FC07C    E8 00000000     CALL Lololo.018FC081
018FC081    8B2C24          MOV EBP,DWORD PTR SS:[ESP]
018FC084    81ED 81000000   SUB EBP,81
018FC08A    8D6424 04       LEA ESP,DWORD PTR SS:[ESP+4]
018FC08E    EB 05           JMP SHORT Lololo.018FC095
018FC090    B8 D7E2F766     MOV EAX,66F7E2D7
018FC095    64:A0 23000000  MOV AL,BYTE PTR FS:[23]
018FC09B    84C0            TEST AL,AL
018FC09D    0F85 A4000000   JNZ Lololo.018FC147


El programa que me has comentado (Protectionid) tampoco dice nada y sobre los datos de la cabecera pe aquí pongo una imagen (que vale mas que mil palabras XD)



Muchas gracias y un saludo

@.:UND3R:. Evita postear tales respuestas que no ayudan absolutamente en nada en el tema, ya son 3 respuestas iguales en 1 dia.
El usuario desde un principio uso un detector de empaquetador.

Respecto al tema, no hay manera absoluta de detectar todos los packers, lo que se podria hacer es realizar un algoritmo en busca de patrones especificos usados por el empaquetador, esos podrian ser por ejemplo estructura de la imagen, directorios disponibles, nombres de las secciones y bien hacer un scaneo en busca de patrones/bytes especificos en la imagen que son usados en todos los archivos empaquetados por tal empaquetador. También se podria usar un analizador de opcodes junto con un emulador.

Imagino que así es como funcionan los analizadores que hay por la red. Si es un packer nuevo supongo que hasta que no los incluyan en la base de datos correspondiente no habrá forma de saberlo. La versión anterior del programa usaba un tal svkp, me quedé en la reconstrucción de la iat.

En fin, si alguien por curiosidad quiere echarle un vistazo que me lo diga y se lo paso, no es necesario que luego me diga a mi que packer lleva o que lo publique, no pretendo que me hagan las cosas.

Hola,

Hay varias alternativas como PEiD, pero una que me gusta mucho es ExeInfo PE:
http://www.exeinfo.xwp.pl

Para reconocer un packer a mano como quieres habría que tener la experiencia y analizarlo internamente, sin experiencia dudo que haya algo que te permita reconocerlo.

Saludos.

Hola. Muchas gracias. Ya imaginaba que detectarlo "a mano" sería complejo.



Esto es lo que me sacan como resultado los dos programas comentados. XD no hay manera. He borrado el nombre de la sección EP por no incumplir las normas del foro.

En fin, será algún packer nuevo o algo.

Hola, podrías comenzar por aquí:

http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo_aprende_ingenieria_inversa_desde_cero-t345798.0.html

Saludos

Gracias, no obstante lo que solicito, a ser posible, es algo mas concreto, no digo que sean instrucciones concretas, pero algo como un tutorial de un crackme o instrucciones mas específicas aunque sea para otro software.

Si pregunto aquí es porque no he encontrado nada buscando. He mirado  varios analizadores de packers y formas de hacerlo con ida pero nada de nada. Tampoco pido que me digan como se hace el unpack, simplemente saber cual es para poder empezar.

Gracias

Hola a todos.

Estoy investigando como meterle mano a un programita, llevo mucho tiempo detrás de él y no hay manera. Tengo una versión nueva y voy a empezar de cero. El caso es que le paso el rdg packer detector y me dice que no hay nada... bien empezamos..¿me podéis decir cómo identificar el packer sin analizadores en general? algo con olly.

En el memory map de olly me sale en owner nombres tipo imm32 o usp10 o crypbas.

¿ideas?

Muchas Gracias

Buenas,

Tengo un programa comprado con su licencia, pero que sólo sirve para un PC ya que genera el password tomando la ID del disco duro (creo). Si lo quiero instalar en otro PC, me generará otro password diferente.
Mi pregunta es, si ya tengo el programa original, comprado y registrado en un PC, ¿puedo crackearlo en otro PC mediante comparación con el registrado?¿O no tiene nada que ver?. ¿Podría usar el turbodiff, tracear los 2 programas con el Olly para ver dónde se separan, ó hay otra manera más sencilla?.

Un saludo

Intenta cambiarle el número de serie al disco duro, es decir, si el programa como tú dices mira el s/n del disco duro y genera un key vete al otro equipo en el que quieras tener ese programa, modifica el s/n del disco duro por el serial del disco duro "original" y a ver que pasa. Hay varias herramientas para hacerlo, miratelo.

A ver...no estoy seguro de lo que voy a decir así que no me hagáis mucho caso.

Este chico lo que quiere hacer es poner la cuenta atrás a 0 para obtener regalos pero me da la sensación de que el programa como tal no es el que muestra las imágenes sino que es como la típica cuenta atrás de megaupload en sus tiempos o este tipo de webs, vamos, que la cuenta atrás no está en el programa sino en un servidor web y que el programa se conecta a dicho servidor mostrando la web, tipo steam.

Eso no vas a poder crackearlo por mucho que depures el programa porque el servidor siempre va a tener el tiempo que te falta.

A ver... me estoy dando cuenta de que el 2 también falla.

El programa ni tiene antidebug ni tiene nada, si lo tengo ya crakeado (también lo tengo original).

Lo abro y me da el tipico error "Exception 00006BA. use Shift+..."

Le doy a shift+f9 y sigue funcionando algunas veces.

Decir que el programa, el exe en si no da ese fallo, hablo del exe guardado desde olly ya modificado para que funcione sin llave.

El caso también es que en windows xp no me pasa esto, es tema de windows 7.