Mensajes

comparar 2 archivos se llama diffing, en general no es algo facil de primera, ´puedes usar patcher, IDA y otras herramientas, por otro lado, imaginemos que la version 1 tenia upx y la segunda tenia pecompact, en general ninguna de las 2 sera igual para comparar, pero si en ambos llegas al oep (original entrypoint) podras tener una idea mas clara

creo en particular que cuando una aplicacion es propia, es facil de depurar, pero cuando es algo de otra persona, es bastante dificil entender aveces que han hecho (algunas veces cambian hasta de lenguaje de programacion de java a c++, o a .net , pascal etc)

Saludos Apuromafo

pd: yo creo que te has confundido, no hay publico olllydbgx64 (de oleh y. , existe un depurador bastante útil creado por duncan o.  llamado x64dbg ).

1)para parchar hay que leer un poquito la documentacion (solo es saber de a poco como volcar bien los datos)
2) snapshot (compress database etc)

es ideal antes que uses IDA leer bien los tutoriales, te recomiendo el de ricardonarvaja
http://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20REVERSING%20CON%20IDA%20PRO%20DESDE%20CERO/

Saludos Apuromafo

ojo hay recursos en dll... no solo en el exe..no lo subi porque los puedes dumpear facil con megadumper

si es de ayudar, aqui va sin confuser , eso tengo varios recuerdos, asi que deberia estar listo.

del cryptoobfuscator no tengo experiencia  pero igual te dejo uno como referencia a como deberia verse mas menos
https://megaup.net/1pAD/explorar.rar

Saludos Apuromafo

https://www.hex-rays.com/products/ida/processors.shtml

en español nada que sepa, quizas algun escrito de pasta en cls (pero de la version 3)

google forum.tuts4you.com enigma unpack, uso de script de ollydbg y algo podria ayudar..

en general todo es igual, pillar el oep, reparar la iat, pero el tema de la vm , es el tema que tienen los script, ayudan a quitar el codigo en vm, eso

Saludos Apuromafo

son varios, ejemplo en enigma basta que veas el Hardware lock
refiere:
System Volume Serial Number
System Volune Name
Computer Name
CPU type
Motherboard
Windows Serial Key
Hard Disk Serial Number
Windows User Name

respecto a vmprotect
Hardware locking
The licensing system allows the developer to receive a hardware identifier of user's PC based on information about CPU, network card and OS. The licensing system can produce a serial number that will be only valid on that hardware only. This option allows you to limit usage of the application to several computers.

en el faq  hay tutoriales, el primer packer que se toma es el upx, no debe ser complejo anímate
hay hasta descompresores como upx.exe -d nombredel prograam.exe

yo en lo personal prefiero usar pexplorer, abro el programa, lo guardo (y el plugin de upx ) ya lo descomprimió )

Saludos Apuromafo

pd: en general lo cargas en el depurador, buscas desde pushad..hasta popad, luego hay un salto que se da a una nueva zona, y ese es el salto al oep, luego de ello hay que dumpear(importrec/scylla) y reparar iat confirmando inicio y fin de la tabla de importaciones ...segun se guia en muchos tutoriales, la gran mayoría es automático

la unica gran diferencia entre unpacked entre herramienta y otra de unpack manual, es que el unpack manual quedan las secciones como upx1 upx2 o la que tenia originalmente, el unpacked por tool , recupera el nombre de todas sus secciones ...

Saludos Apuromafo

upx
http://manualinux.eu/upx.html
si fuera por modificar, tendrias que usar IDA o bien un editor hexadecimal..bueno es tema de cada uno como va haciendo las modificaciones.
Saludos

El software que intentas usar, el cual es FileTooLong, es Adware, lo instale y me instalo virus por todas partes, por suerte alcanse ha aislar el pc del internet.
Pero yo nunca me he topado con archivos con nombres tan largos...

eso es otro nombre xD, estas confundiendo la herramienta con lo que ha presentado, al depurar no se ve ninguna forma maliciosa de trabajar


...por otro lado una vez que uno accede a la rama de regedit y se renombra desde "regedit no se puede eliminar" , busqué varias formas, la mejor seria esta herramienta gratuita
http://registry-finder.com/  vamos a la rama a eliminar , colocas eliminar y listo, se elimina sin problema

el tema debe ir en el "flag" , normalmente hay ramas de regedit que se pueden virtualizar inclusive, asi que asumo que el autor lo ha hecho intencionalmente para evitar que le quitaramos el trial ? bueno, sea como sea, funciona por el minuto

instrucciones hechas para hacer un resumen
0 tenemos un programa que si no  se registra el programa, los botones de la interfáz de usuario se deshabilitan, y los nodos del treeview también. En resumen, que no se puede usar ninguna funcionalidad del programa.
1) ingresamos usuario y serial valido de 3 dias..e intentamos analizar todo lo que parezca llamativo (creacion de ramas, acceso a regedit entre otros)
se logra ver hay muchas send... y valores entre 0 y 1, valores a comparar en cada segmento, asi que aburrido de mirarlo, elegi las peores condiciones

2) expired y no funcional: elimine la rama de regedit que tenia la rama, el programa sigue siendo trial

3)  sobre el programa desempacado buscamos tantas referencias del trial como podemos,vemos una cantidad de saltos necesarios (al menos 4),  llegamos al dword que apuntamos  60FA4C  y buscamos todas las referencias, y el lugar mas vulnerable era ecx
0056E808 | A1 4C FA 60 00            | mov eax, dword ptr ds:[0x60FA4C]                                  |
0056E80D | 41                        | inc ecx                                                           | apuromafo
0056E80E | 90                        | nop                                                               |

el valor nuevo en bytes es 41 90 , dado que toda escritura es al revez desde el depurador es mov word (tamaño de 2 bytes), y los bytes 9041

cuando salta al oep (packed) es asi:
jmp 0x54e4a2

la nueva instruccion quedó asi en el packed:
00690ABC  mov word ptr ds:[0x56E80D], 0x9041     
00690AC5   jmp 0x54E4A2       

eso fue todo, programa ha quedado parcialmente operativo ?, aun no se si hay mas cosas

Saludos Apuromafo