Mensajes

eso es para cambiar un salto, tambien es posible aveces forzarlo mas

je a jmp
o
je a NOP

igual los offset son direcciones, entender que cambiar, es lo que se aprende, te sugiero que leas el curso de ricardonarvaja, cuando termines lee este mismo toppic y creo que tu mismo vas a decir la respuesta.

saludos Apuromafo Cls

pasa que el programa no esta realmente en su propio lenguaje, esta con algo ofuscado, o bien algun packer para iniciar, ahora bien, donde comienza esto?

CPU Disasm
Address   Hex dump          Command                                  Comments
004019A8    E8 00000000     CALL 004019AD
004019AD    58              POP EAX
004019AE    BB AD190000     MOV EBX,19AD
004019B3    2BC3            SUB EAX,EBX
004019B5    50              PUSH EAX
004019B6    68 00004000     PUSH OFFSET gaifr.00400000
004019BB    68 B01C0000     PUSH 1CB0
004019C0    68 80000000     PUSH 80
004019C5    E8 35FFFFFF     CALL 004018FF
004019CA  ^ E9 99FFFFFF     JMP 00401968


si vamos de a poco, va desempacando en memoria, pulsando f7/f8



---------------------------
PMIFRPanel
---------------------------
Run-time error '53':

File not found
---------------------------
Aceptar   
---------------------------
mas o menos desde

CPU Disasm
Address   Hex dump          Command                                  Comments
08E992C6    68 1C22EB08     PUSH 8EB221C                             ; ASCII "RaiseException %s(%x) flags=%x num_args=%x caller_addr=%s:0x%x %s
"
08E992CB    E8 9EA2FDFF     CALL 08E7356E
08E992D0    83C4 20         ADD ESP,20
08E992D3    E8 5FF9FFFF     CALL 08E98C37
08E992D8    84C0            TEST AL,AL
08E992DA    5B              POP EBX
08E992DB    74 09           JE SHORT 08E992E6
08E992DD    FF75 08         PUSH DWORD PTR SS:[EBP+8]
08E992E0    E8 64FDFFFF     CALL 08E99049
08E992E5    59              POP ECX
08E992E6    8B4D 10         MOV ECX,DWORD PTR SS:[EBP+10]
08E992E9    834D FC FF      OR DWORD PTR SS:[EBP-4],FFFFFFFF
08E992ED    85C9            TEST ECX,ECX
08E992EF    74 05           JE SHORT 08E992F6
08E992F1    E8 2F07FFFF     CALL 08E89A25
08E992F6    8B4D F4         MOV ECX,DWORD PTR SS:[EBP-0C]
08E992F9    5F              POP EDI
08E992FA    5E              POP ESI
08E992FB    64:890D 0000000 MOV DWORD PTR FS:[0],ECX
08E99302    C9              LEAVE
08E99303    C2 1800         RETN 18
08E99306    55              PUSH EBP
08E99307    8BEC            MOV EBP,ESP
08E99309    51              PUSH ECX
08E9930A    51              PUSH ECX
08E9930B    896D FC         MOV DWORD PTR SS:[EBP-4],EBP
08E9930E    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
08E99314    8945 F8         MOV DWORD PTR SS:[EBP-8],EAX
08E99317    FF75 14         PUSH DWORD PTR SS:[EBP+14]
08E9931A    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
08E9931D    FF75 10         PUSH DWORD PTR SS:[EBP+10]
08E99320    FF75 0C         PUSH DWORD PTR SS:[EBP+0C]
08E99323    FF75 08         PUSH DWORD PTR SS:[EBP+8]
08E99326    FF70 04         PUSH DWORD PTR DS:[EAX+4]
08E99329    FF75 F8         PUSH DWORD PTR SS:[EBP-8]
08E9932C    E8 C3FEFFFF     CALL 08E991F4
08E99331    FF75 14         PUSH DWORD PTR SS:[EBP+14]
08E99334    FF75 10         PUSH DWORD PTR SS:[EBP+10]
08E99337    FF75 0C         PUSH DWORD PTR SS:[EBP+0C]
08E9933A    FF75 08         PUSH DWORD PTR SS:[EBP+8]
08E9933D    FF15 74B2EA08   CALL DWORD PTR DS:[8EAB274]
08E99343    C9              LEAVE
08E99344    C2 1000         RETN 10

se supone que busca algo..y da eror de runtime

ahora bien el OEP (original entrypoint)
de donde debes desempacar esta en:
CPU Disasm
Address   Hex dump          Command                                  Comments
004070C8    68 10944000     PUSH gaifr.00409410                      ; ASCII "VB5!6&*"
004070CD    E8 EEFFFFFF     CALL <JMP.ThunRTMain>                    ; Jump to MSVBVM60.ThunRTMain


sugiero que leas algo de
http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html

igual creo que debe ser mas o menos de esta pagina:

http://www.schiratti.com/

creo que mas especificamente de aqui:

http://www.projectmagenta.com/downloads/demos.html

revisaba y sip, corresponde a una version 0...+1 de la que tienes , pero parece que debes ademas de depurar, quitar algunas excepciones, no es un tema facil desempacar este tema, sino mas bien encontrar la limitacion,
Cual es la limitacion de este programa?

amm..
cuando te aparece que el programa is compreses, colocas ok,

sip, esta comprimido, no he visto que packer, pero no parece llamar directamente al oep de la aplicacion de vb, sino llama a getcommandline y otras apis para mapear espacio y esas cosas.

ojala alguien del foro tenga mas tiempo que yo..solo lo vi 1 minuto..bajar de un ciber es complicado.

El archivo al que está intentando acceder está temporalmente desactivado.
aun no lo veo ..puede que sea en otro formato, como por ejemplo 16 bytes.. y no en 32..intenta analizar con rdg, por si hay algun packer o algo.
puedes abrirlo, lo que no puedes es desempacar del todo., o bien no sabes donde llegar al oep, yo tampoco lo veo facil, pero no creo que sea imposible.

QUE YO SEPA..toda informacion basada en usuario y serial deberia tener alguna forma de comunicarse con el servidor para cierta informacion

puedes tener el exe..pero quizas esa informacion, si no usas snifer dificil que logres capturar algo de info..

por lo demas crackear algo con comunicacion a internet no es nada facil..para nadie.

el tutorial que debes leer es el de evolution, ahora bien si quieres entenderlo deberas leer todas las teorias de ricardo narvaja..ya casi en las finales , luego de explicado todo desempaca un execryptor

actualmente hay 2 unpackers de RSI que son buenos..
pero normalmente el tutorial de solid y tena al llegar al oep, dumpear y reparar..dejan la tls y logra ejecutarse en todos los S.O

cual es la complicacion de tu packed? encontrar el oep? o simplemente lograr ejecutarlO?

yo no hace mucho puse como desempacar un execryptor..en este mismo foro..
y hay tantos tutoriales que decir que no hay info seria sarcastico..
creo que es bueno que intentes con el Unpacker de rsI

intenta leer para realmente lograr lo que buscas..y lo editas..
busca leer antes de postear, comenzando desde 0 con el tutorial de ricardo..

no es diferente de crackear algo..
ejecutar simplemente,y mirar las referencias si sacas la informacion que necesitas

link muerto
sugiero usen crackmes.de

lógicamente es una inocentada...

ojala den como tema cerrado..ya se termino aquello

saludos Apuromafo

pd:saludos SeNeGe  , Axus , ~//RBN

sip, ademas el tema creado ya se fue a la papelera,


bueno a disfrutar el foro y no olvidar las raices (ver informacion de la pagina)

en cuanto a lo del otro foro..
ya veremos las caras despues de tantos usuarios que se des-registraron y borraron sus usuarios porque le dolieron los ojos..la costumbre..

saludos Apuromafo

voy a dormir se cuidan

code virtualizer es el hermano chiquito de themida, que usa maquinas virtuales y nadie habla del tema..

eso sabia yo..