Mensajes

1)escanear que packer tiene con RDG/peid/exeinfope otros
si no tienes, baja de aqui
http://pid.gamecopyworld.com/
http://www.peid.info/

2)desempacar o inlinear con el depurador favorito
ejemplo ollydbg/ida/windbg
www.ollydbg.de

3) luego editar el recurso si procede.

por ejemplo , yo una vez tuve un exe empacado con execryptor,y despues de quitarlo, tuve que parchar crc, buscar algunas partes importantes y recien edite el recurso..

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1309-EC%20quick%203d%20execryptor%20%2Bpainter%20%20%20by%20Apuromafo.rar

ahora el tema es mas complejo aun, pero en mi version me sirvio

editores de recursos:
Reshacker,PExplorer de heaventools, Restorator , y dependiendo del lenguaje que tenga el unpacked, ejemplo vb, podria usarse Vbreformator , saludos Apuromafo

[pero no se que mas hacer,]

pero no se que mas hacer,
seguir aprendiendo sobre los numeros flotantes/reales

lo demas parece requesting, cosa no permitida aun en el foro, pero no digo que no este mal, analizar, porque no colocas la parte sensible, para ver como estas interpretando el codigo?

Código [Seleccionar] Expandir

[Asi que he empezado a buscar tutoriales, y me encuentro con una página que se llama "Tuts4you", tiene un hay que usar Ollydbg, y yo no tengo ni idea!]

Muchas gracias, me has dado información de gran utilidad, aunque la mayoria de los terminos que usas los desconozco, tendre que aprendermelos aunque sea para crackear un miserable programa en toda mi vida...

Si estaba prohibido el requesting le pido disculpas al mod de esta sección.

Saludos

dime como que termino ^^
tengo aun un poco de tiempo



Asi que he empezado a buscar tutoriales, y me encuentro con una página que se llama "Tuts4you", tiene un

hay que usar Ollydbg, y yo no tengo ni idea!


te sugiero comenzar con los de ricardo, asprotect comenzo en la version 1 y han pasado aprox como 30 versiones desde la primera que vi
aver en ingles la serie se llama metro's series, hay otros de thunder y otros, ellos suelen analizar las vm y tienen otras formas de ver,



Ya me he comido 3 tutoriales de estos enteros en ingles y no he podido hacer nada porque al abrir el ollydbg con el programa, me dice :

"Debugger detected please restart and open again the program" o algo asi, pues bien, yo lo hago, y me vuelve a salir el maldito mensaje...

te detecto el crc, por las excepciones, depurador u otro

Se nota que soy novato en estas cosas..pues si, pero es que necesito tanto crackear ese maldito programa que ya no se a quien pedirle ayuda, y ya lo he intentado todo, ganas no me faltan ya podeis verlo!! aun no ..debes ver que a nadie le salio facil el tema, pero compartieron su conocimiento

asi que espero te animes sobre todo comenzando aqui:
http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html

y leyendo aqui:
http://www.aspack.com/asprotect.html
este es el comienzo

http://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/

**tienes suerte aqui esta el unpacked por codedoctor :
aqui lo subo, por si  tienes animo aun
http://www.mediafire.com/?6576b92x21qy131

Código [Seleccionar] Expandir

004012A0   55               PUSH EBP
004012A1   89E5             MOV EBP,ESP
004012A3   83EC 08          SUB ESP,8
004012A6   C70424 02000000  MOV DWORD PTR SS:[ESP],2
004012AD   FF15 C85E7C00    CALL DWORD PTR DS:[7C5EC8]
004012B3   E8 98FEFFFF      CALL tec.00401150
004012B8   90               NOP
004012B9   8DB426 00000000  LEA ESI,DWORD PTR DS:[ESI]
004012C0   55               PUSH EBP
004012C1   8B0D 605F7C00    MOV ECX,DWORD PTR DS:[7C5F60]
004012C7   89E5             MOV EBP,ESP
004012C9   5D               POP EBP
004012CA   FFE1             JMP ECX
004012CC   8D7426 00        LEA ESI,DWORD PTR DS:[ESI]
004012D0   55               PUSH EBP
004012D1   8B0D 005F7C00    MOV ECX,DWORD PTR DS:[7C5F00]
004012D7   89E5             MOV EBP,ESP
004012D9   5D               POP EBP
004012DA   FFE1             JMP ECX
004012DC   90               NOP
004012DD   90               NOP
004012DE   90               NOP
004012DF   90               NOP
004012E0   55               PUSH EBP
004012E1   89E5             MOV EBP,ESP
004012E3   5D               POP EBP
004012E4   E9 E7522D00      JMP tec.006D65D0
004012E9   90               NOP
004012EA   90               NOP
004012EB   90               NOP
004012EC   90               NOP
004012ED   90               NOP
004012EE   90               NOP
004012EF   90               NOP
004012F0   55               PUSH EBP
004012F1   B8 00307100      MOV EAX,tec.00713000
004012F6   89E5             MOV EBP,ESP
004012F8   5D               POP EBP
004012F9   C3               RETN
004012FA   8DB6 00000000    LEA ESI,DWORD PTR DS:[ESI]
00401300   55               PUSH EBP



y al testear puedes usarlo mas tiempo , se supone que si no esta comprimido, no deberia ser mayormende dificil de revisar.


^^

asprotect ske, es un protector que normalmente incluye sdk, eliminar el recurso no creo que sea util, si es de usar mas tiempo podrias usar trial reset pero en la gran mayoria de los asprotect suelen usarse unpackers como stripper en las versiones simples, pero en complejas implica hacerlo a mano

el tema que tiene asprotect aparte de protector(ahora debe ir por la 2.6x aprox), es que sin la licencia correcta puede que tengas solo el trial, muchas veces el unpacked o cracked no servira, pues implementa llaves de estilo RC4, ademas de crc, calls que no van a ningun lado, y redireccion de codigo a zonas para determinar un simple call, o cosas tan complejas, como 6 a 12 variables en stack


los requesting estan prohibidos, pero si tienes dudas cuando lo estes desempacando no hay lio de apoyar en donde quedes..
normalmente los que suelen crackear asprotect solicitan programas retails pero bueno, estamos aqui..en que parte vas? has leido algo'

te sugiero si es por mas dias usar trial reset, si es por aprender aqui hay algunos de 2.1 en adelante

<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/801-900>
856-Análisis del ASProtect 2.1X SKE - I Parte por Guillermo.zip
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/856-An%C3%83%C2%A1lisis%20del%20ASProtect%202.1X%20SKE%20-%20I%20Parte%20por%20Guillermo.zip



857-Análisis del ASProtect 2.1X SKE - II Parte por Guillermo.zip
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/857-An%C3%83%C2%A1lisis%20del%20ASProtect%202.1X%20SKE%20-%20II%20Parte%20por%20Guillermo.zip

858-Análisis del ASProtect 2.1X SKE - III Parte por Guillermo.zip
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/858-An%C3%83%C2%A1lisis%20del%20ASProtect%202.1X%20SKE%20-%20III%20Parte%20por%20Guillermo.zip

726-ASProtect 2.3 SKE inline patching tutorial by ThunderPwr_1.0.rar
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/701-800/726-ASProtect%202.3%20SKE%20inline%20patching%20tutorial%20by%20ThunderPwr_1.0.rar

1037-tute Asprotect 2.4 SKE by tena y solid.rar
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1037-tute%20Asprotect%202.4%20SKE%20by%20tena%20y%20solid.rar

Solu_Concu#8_Test (ASProtect 2.2-2.3 SKE)_By_InDuLgEo.rar
http://ricardonarvaja.info/WEB/CONCURSOS%202010/CONCURSO%208/Solu_Concu%238_Test%20%28ASProtect%202.2-2.3%20SKE%29_By_InDuLgEo.rar

entre otros suele usar http://ricardonarvaja.info/WEB/buscador.php
y coloca asprotect luego que termines de leer.


si es por hacerlo automatizado deberas buscar el plugin codedoctor o bien el script de VolX (es ruso) pero en la version 1.5 aprox, eso es para ayudar a quitar muchas cosas e informarte bien.

por lo demas tambien existen otros rusos que saben bastante, pero no sabemos ruso..asi que lo importante es que paso daras..

saludos Apuromafo

dale con el tema de destruir recursos  , te pasare comprimido con upx la ocx y el metodo no te servira.

los ocx, trabajan igual que como una dll, o similar  pero esto siempre que no este comprimida la aplicacion/dll

saludos Apuromafo

ok, igual te comento que tu depurador hay personas Inglesas que comentaron ( lo compartieron con tu imagen y enlace original) , y de paso preguntaban si habia algun changelog, porque cambiaba de versiones y no habia update de que se agrego/cambio
y como no sabian mucho de español, obviamente no venian a consultar.

seria ideal que lograras implementar algo, aunque sea poquito

amm sip, hay buenos depuradores, pero integracion de IDA/ollydbg no alcanza tanto multithread y multiple child , pero bueno, igual se agradece la pronta respuesta.

pd:existe un mundo que tambien le ha llamado la atencion tu depurador, si encuentro algun comentario te lo hare saber

saludos Apuromafo

hoy aparecio una herramienta para analizar vm, en tuts4you.com

lcf y quoseyo estan acostumbrados  a inlinear/parchar winlicence, esta bien que te ayuden , suelo participara aveces en la WEB/scene de snd tambien

:
mis ideas de porque no corre puede ser
*checkeo de comprobacion en linea(solo el winlicence tiene este tipo de checkeos
*la licencia debe ser valida para correr (is_registred a 0/1)
*crc parchado (inline)
*sección TLS, esta correcto (la iat no esta en la tls, y no corre)
*agregados Antidump (por direccion le falta x zona)
*VM agregada**hoy como comentaba, aparecio una tool puedes verificar si es eso
*funciones de la aplicacion correcta(falta de sección por heap/ fordwarding otros, normalmente suelen ser muchos push y call metamorficos)
*comprobacion de cuantas secciones tiene
*algun sdk de winlicence (no las recuerdo todas, pero hay como 12 en la ultima version.quoseyo ha analizado todas, por eso te digo que no creo que le cueste ayudarte.

saludos Apuromafo

si es por el tema sugiero cambiarle el titulo, como "curso Ingenieria inversa Presencial Duxcore" por ejemplo, porque lo primero que veran sera oohh curso, aver..y abren y diran pucha, era algo de pago, la idea es promocionar y mantener todo en el mismo post

osea en la primera vean todo, (para eso es el boton de edit)

ahora bien la teoria de ricardo apoya a todas las bases de ingenieria inversa, pues tuvo muchas luchas con las EZINES/TEAMS, que realizaban el cracking y no compartian el conocimiento y luego moria el team y adios buenos keygeners y coders y otros,

creo que es bueno que ofrezcas tus servicios y vayas improvisando en diferentes formas,  ejemplo depurador+programas para la iat (chimprec x64) salio entre proyectos como diria alguien ,algun enlace, autoactualizacion o verificacion de actualizado, formatos para reportar algun problema, archivo de ayuda )

no se que tanto manejo habra ahi,   pero si hay algo que es bueno , es que las grandes personas que aprenden algo compartan algo de lo que saben es bueno y    si ofrecen servicios de pago lo indiquen .

yo por mi parte no venderia lo que se, porque fue gratis como aprendi, y profesionalmente no me desempeño en aquello.para eso hay otras personas


Sugerencias
de este foro:
*mejorar el titulo del post
en tu pagina de training :
deberias colocar   Temas 1 y 2  y luego:
*datos de contacto o algun formulario de contacto contigo para que hagan esos cursos /*mail y otros en tu pagina" y no sea como ohh baje el archivo y ahora que' con quien se hace?
otra mas(puede ser en ambas):
Características del curso
*El curso sera desarrollado de forma presencial, en los horarios de L a Viernes, Horario X GMT +3  mes de Febrero/etc   mas informacion en tupagina.com/foro

y a quien no pueda hacer cursos, pues a seguir aprendiendo, la informacion es una cosa y la Formacion es otra, asi que animo!,

saludos Apuromafo

por lo que he visto has actualizado bastante desde la ultima vez


solo como sugerencia en acerca  o agregues en el archivo en la descarga intenta colocar  algun "changelog o algun History"

me explico porque, tienes un menu de videos y tienes en version 1.0
- Visual DuxDebugger 1.0 - Basic
- Visual DuxDebugger 1.0 - Breakpoints
- Visual DuxDebugger 1.0 - Detours

si no colocas los "history"  /updates es como dificil saber que ha cambiado, por lo demas te felicito que ademas de promocionar una tool , puedas ser capaz de enseñar y guiar, aunque sea de pago, y de seguir implementando nuevas funcionalidades

como solo tengo x86, no he podido checkear , y por tiempo no he bajado la maquina virtual pues el pc no suelo tener muchas cosas, solo lo necesario

pero muestra esto en mi pc:

Prerequisite check for system component Visual C++ 2010 Runtime Libraries (x64) failed with the following error message:
"Installation of Visual C++ 2010 Runtime Libraries (x64) is supported only on x64 machines."


ahora bien tengo mas o menos de referencia estas versiones, pero no se que paso entre una y otra, sera posible coloques algun detalle?

atento a sus comentarios
Apuromafo CLS

ejemplo
01 Oct. 2010->version 1.0
15 Ene 2011 ->version 1.4
03 Feb. 2011 ->version 1.7
08 Feb. 2011->version 1.9
10 Feb. 2011 ->se actualiza a version 2.0
se agrega X modulo, se arreglaron bugs, ETC



@duda 2, tienes pensado implementar algun Visual DuxDebugger en ring0/3 en x86 algun dia?

saludos Apuromafo

sobre todo en las aplicaciones que refieren con versiones retails
pero siempre es bueno comenzar por algo.
por utlimo que si paga , que sea bien pagado.