Mensajes

pensemoslo de otra forma entonces

el programa normal es

1
2
3
4
5

el programa con stolen estaras en
4
5
6

luego como se donde comenzo?, pues un bp en acces en 1 o en 2

pero como llego a eso?, normalmente todos comienzan por push ebp, o algun push o similar, luego hay 4 menos y por ahi intentar

en upx, el pushad guarda los registros, el popad los restaura, por eso el metodo sirve, pero si hiciera pushad y nunca popad, no serviria el metodo

el tema delicado ahi es que el valor de comienzo, nisiquiera se hubiera escrito, el segundo si..es solo eso

push ebp, escribe en stack..que direccion? mira el stack , en la maquina de ricardo deberia ser  12FFc4

cuando se detiene en el oep, y no esta en la misma direccion donde ejecutan todos los programas, hay estolen, es para eso..y si coloca el bp en access en la direccion, significa que posiblemente encontrara la primera escritura en ese lugar..

es eso

verifica como se llaman las ventanas en:
http://foro.elhacker.net/ingenieria_inversa/taller_de_cracking_desde_cero_actualizado_27julio2008-t180886.0.html

ricardo escribio las teorias por el año 200x ricardo iba escribiendo esas teorias y algunos participabamos asi ocasional, yo en mi caso, recuerdo que me paso eso, luego inclusive hicieron animaciones que ricardo luego del ultimo escrito al respecto, si no me equivoco mintaka, a cerca de los 10 años de la lista




ahora bien yo lo conoci como FatMike UnpackMe 3
lo puedes pillar aqui:
http://tuts4you.com/request.php?1328

y mira que hasta en ruso fue traducido

http://www.wasm.ru/article.php?article=ollydbg47

hay que saber usar el buscador, yo en gmail, pues estoy inscrito a que me llegue todo al mail, y luego de aquello solo es buscar en mi mail, y no tanto en el grupo

saludos Apuromafo

yo te digo de inscribirte en cracklatinos porque ahi mismo esta la 1.13

otra tool util
http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/Demolition10.rar



titulo: {CrackSLatinoS} Threads



fecha   19 de marzo de 2010 20:20
Acá en mi máquina tengo la versión siguiente, la 0.13 (envío adjunto; password = "a" sin comillas); sin embargo, creo que además hice una versión más nueva, que permitía seleccionar más de un thread para suspender/terminar/reanudar todos a la vez. Debe haber quedado en mi máquina vieja (a cientos de kilómetros de acá), igual que el código fuente. Cuando viaje lo recuperaré

Saludos
marciano

Estricnina013.rar
257 K  

º                               Estricnina v0.13                            º
º                                                                           º
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍËÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍËÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
                         ÉÍÍÊÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÊÍÍ»
                         ÌÍÍ  Group  ÍÍ  2006  Í͹
                         ÈÍÍÍËÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍËÍÍͼ
      ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÊÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÊÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
      º   Patch    [ ]        Serial/Registry  [ ]        KeyGen [ ]   º
      º   KeyFile  [ ]        Loader           [ ]        Tool   [X]   º
      º                                                                º
      º CrackeR: marciano [CracksLatinoS ]                             º
      º Release Date: [11/05/2006 ]    
³                                                                          ³
 ³  Estricnina v0.13 is a tool for manipulating threads of running          ³
 ³  processes.                                                              ³
 ³  It lets you to resume/suspend/terminate threads of processes.           ³
 ³                                                                          ³
 ³  In the main window it shows, for each process, its PID, its number of   ³
 ³  threads and its number of opened handles.                               ³
 ³  Aditionally it allows you to terminate running processes.               ³
 ³                                                                          ³
 ³  The information shown for each thread includes: Thread ID, Priority,    ³
 ³  TEB Address, Start Address, State and EIP.                              ³
 ³                                                                          ³
 ³  Programmed by marciano                           ³  
 ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ

ok, es que normalmente uno en los tutoriales aveces se da cuenta como va hilando y buscando las limitaciones

he tenido experiencias que cuando termino de crackearlo, encuentro algo nuevo y he tenido que comenzar denuevo..

por eso comento..en una de esas ves ciertas limitacione y si alguien encuentra esa otra limitacion, complemente el escrito

saludos Apuromafo

genial, esperamos de :UND3R:.    un tutorial, algun tutorial de tus experiencias con las aplicaciones y los enlaces como has ido aprendiendo y depurando

^^

el movimiento no es tanto del foro, yo creo que va en quienes participan y tienen dudas, realmente si fuera por crear mas cosas, habria que buscar ordenes para tutoriales, a quienes aun no dominan la ingenieria inversa
uno nunca deja de aprender
saludos Apuromafo

pd:rdg ya libero su version..y ya hay hasta update de sus signaturas, PID, aun sigue beta sus nuevas versiones debido a vmprotect que le escanea su PID, bueno historias..

colocar un int3, cuando se ejecuta , hacer una excepcion y atachar..realmente era usado con sofice mas que con ollydbg, o windbg

genial que ya lo has resuelto

leer los escritos de ricardo como aparece en las primeras chinchetas..
luego seria algo asi:

pushad
codigo
popad
jmp OEP

en el oep, dumpear y reparar
animo,

http://www.heaventools.com/
el PE explorer, si buscas un fix, el team BRD (black riders) liberaron un parche, keygen y fix inline para esa app

saludos Apuromafo

si hubieras leido lo de ricardo ya hubieras tenido unpacked aquello

insisto, es cosa de leer , luego practicar

normalmente aspack es
pushad
call lugar


popad
salto
lugar donde decodifica un push oep
ret
push+ret=salto al oep

hay un escrito de sambo, hecho tambien en aspack,

no es diferente el aspack 2.1 al ultimo liberado por BRD (2.25)

saludos Apuromafo