Mensajes

Hola ShadowDark
ante todo gracias por irme a aconsejando, el tutorial que me e bajado trabaja con una proteccion muy similar a la que yo tengo

pero como soy bastante novato me encayo aqui (se que se trata de algo muy basico  )

dice "poner un bp en WriteProcessMemory"

yo no se como se busca dicha llamada, lo unico referente a WriteProcessMemory
que e encontrado es esto

0061634A   .  FF15 0CC16400 call ds:[<&KERNEL32.WriteProcessMemory>] ; \WriteProcessMemory


de todas maneras al ponerle un bp (que no se qual poner ya que no lo especifican
,yo le pongo el toggle)
i al darle al run me salta un error i se me cierra todo...

pues asi esta la cosa..
me gustaria seguir ya que el tutorial como ya e dicho trabaja con una proteccion muy similar a la que me interesa



salu2

antes de nada busca en ese mismo topic el programa ArmaFP o algo así se llama que le puse es para detectar la protección exacta de armadillo y me la pegas.

Salu2..

Hola denuevo.

Ya he intentado el unpacking y me pasa una cosa curiosa....

Sigo todos los pasos indicados y finalmente consigo dumpear el ejecutable y reconstruirlo con el ImpReconstructor pero cuando lo ejecuto me sale lo siguiente





Puede ser alguna otra protección pero esta vez del programa??

Si edito el ejecutable con olly veo todos los "string references" etc....(eso me da ha entender que está desempacado no??)

Alguna idea?¿

un poco pequeña me parece esa tabla pero bueno, tendras que ser un .exe de nomas de 200 kb para tener una tabla tan pequeña... mira en olly porque te tira el error.

Salu2..

donde esta ese topic :S?
e usado la busqueda y no lo encuentro

de todas maneras si es un programa tipo el resourcehacker no creo que sirva
ya que con estos programas no me deja tocar nada
(la cosa esta complicada XD)




salu2

no me referia a eso. aqui esta.

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/847-Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar

aun así analizalo con el ArmaFind que le pongo en el Topic "armadillo tocando las..." era ese me confundí de topic. sigue los pasos mas o menos.

Salu2..

http://dodownload.filefront.com/8003729//857ef4d875ea6145f77e863fec8e0eef4dc56e03966e4012ba9f369a43bbc979df0773bde14acc38

y bueno si.. está bien para los que usan sice jajaja xD. yo sigo diciendo.

http://ricardonarvaja.info

lo que no esté ahí no lo encontraréis XD.

salu2..

Ya lo e escaneado con el RDG y el resultado es

Borland delphi (v 6-7)
y como proteccion  Armadillo deteccion Heuristica


(entonces todo lo que e dicho de los registros no sirve en este caso?)





salu2

buah, yo lo dejaría xD, no se porque to2 los programas que intentáis son armadillo jajaja, tu mismo, lee un topic que dice restorator y bajate el mismo tute probablemente te valga...

Salu2..

Hola,
tengo un programilla el qual deja unos pocos dias de evaluacion,
no encuentro cracks, i tampoko me interesa mucho el encontrarlo,

Tengo entendido que borrando cierto registro, el perido de evaluacion se anula,
Explicare brevemente lo que e leido en un tutorial y haber si me podeis ayudar ya que me pierdo un poco:

lo primero que dice es bajarse el "Regmon"
i azerlo funcionar,
una vez echo esto arrancamos el programa a crackear y detenemos la busqueda con el Regmon

Llegado este punto el tutorial dice que devemos abrir el "regedit"
acontinuacion buscar los "binari keys" del programa a crackear i posteriormente eliminarlos.
pareze facil...
pero la cantidad de registros relacionados con el proceso es enorme i soy incapaz de encontralo...


pues aqui queda la pregunta..
me e enrollado un poco por la cuestion de que no quiero crackear el programa simplemente, si no que me gustaria entender un poco los registros que se crean y todo esto...



gracias por adelantado


salu2

lo primero que tienes que hacer es analizarlo, por ejemplo con RDG Packer Detector v0.6.5, y luego nos dices que clase de compilador / protección utiliza y lo abres posteriormente con:

http://shaddy.co.nr/OllyDBG.rar

y ahi es donde empieza todo .

Salu2..

Pues creo que me voy a decidir por el Olly y seguir con el tute de Ricardo. Gracias a los dos.

OllyDBG, OllyDBG y OllyDBG no busques más, no hay más. Que digas iDA o Olly vale, pero Softice? esta completamente desactualizado, antes se utilizaría el windbg o el syse que el sice, y ring0 no lo necesitas para absolutamente casi nada, ring3 te sobra, OllyDBG es la mejor herramienta sin duda.

http://shaddy.co.nr/OllyDBG.rar

Salu2..

Gracias ShadowDark pero eso dondeva, en el INI? es q soy muy novato lo siento......

saludos....

abrelo con este programa:

http://shaddy.co.nr/OllyDBG.rar

y pulsas CTRL + G y escribes la direccion del margen izquierda y lo cambias.

Salu2..

!-

Código [Seleccionar] Expandir

Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Nanomites Processing
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Allow Only One Copy
Disable Monitoring Thread
?- GetThreadContext error(31)
?- Signature 00000000 01-01-1970


Tiene de todo no?¿...

Muchas gracias ShadowDark !!!

Así si que hiciste un buen análisis .

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/847-Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar

creo que éste valdrá . Cuentame si te funciona. OJO no todo será al pie de la letra, porque éste que te pongo tiene muchas protecciones pero vamos, tiene que orientarte.

Salu2...

[ArmaFP v1.6]

Tengo el plugin "isDebugPresent" pero me sigue dando la lata.

No sabrás de algún manual para esta versión no???


Gracias por las respuestas ShadowDark.

http://shaddy.co.nr/OllyDBG.rar

baja mi ollydbg y prueba el OllyGhost, y si no el plugin OllyAdvanced. Éste olly esta muy completo .

en cuanto al manual la página de ricardo está caída y concretamente esa version la tendrías que analizar con:

Modificado:ArmaFP v1.6

dime la version exacta que te dice y las protecciones y ya te buscaré uno.

Salu2...