Mensajes

paso 1:
regedit en la rama, (renombre la principal a apuromafo)
luego probe denuevo el programa, y al parecer es que funciona mejor en el packed

pero si o si debe tener sus 2 ramas de regedit
aqui en mi pc me esta funcionando todo operativo (sobre el packed)
espero te sirva en el tuyo
http://rgho.st/6pDNmpLz8

lo baje, coloque la clave, hoy muestra expirado (pasaron los 3 dias desde entonces),  
creo que pille donde cambiar xD

0056E805 | 8B 4D DC                  | mov ecx, dword ptr ss:[ebp - 0x24]                                |
0056E808 | A1 4C FA 60 00            | mov eax, dword ptr ds:[0x60FA4C]                                  |
0056E80D | 41                        | inc ecx                                                           | apuromafo
0056E80E | 90                        | nop                                                               |
0056E80F | 1B C9                     | sbb ecx, ecx                                                      |
0056E811 | 83 E1 38                  | and ecx, 0x38                                                     |
0056E814 | 83 C1 08                  | add ecx, 0x8                                                      |
0056E817 | 09 08                     | or dword ptr ds:[eax], ecx                                        |
0056E819 | 8D 75 D8                  | lea esi, dword ptr ss:[ebp - 0x28]                                |

el cambio de logica es que el valor de ecx trabaja el contador de dias o bien la habilitacion de los botones, solo revise 2 minutos, si el valor no es cero (or ecx), entonces tienes mas tiempo, algo asi asumo el algoritmo, al cambiar con inc ecx, el programa inicia de lo mas bien ya que tiene su clave (trial full ?)



Saludos Apuromafo

pd: en caso x que quieras probarlo, aqui va adjunto
http://rgho.st/7wG5ySwrm

aún falta el mensaje que dice que detecta que esta corrupto (que ha sido modificado)

Executable file seems corrupted

casi siempre en programas asi, es mejor dejarlo dentro de una maquina virtual y con el serial activarlo en sus 3 dias,se vuelve a restaurar su maquina virtual y asi ganar 3 dias mas..solo en caso de necesitarlo

en lo que es personal, hay muchisimas formas que puede validar el dia real que está, asi que si atacas a todas las posibilidades, aveces logres hacerle pensar que esta recien en el dia 1 de 1, por siempre

por otro lado, en tu rama de regedit se logra apreciar algunos campos en = (terminacion muy comun en base64 ,quizas además debas ver como funciona ese cifrado en el programa y que valores le da al programa (environment variables u otro)

si no fuera que no manejo mucho tiempo libre, lo hubiera bajado y probado, pero las ideas son las que deben estar para comenzar..
"En tiempos de crisis la imaginación es más efectiva que el intelecto."

Saludos Apuromafo

No quiero fastidiar a tu investigación, pero bueno, a primera vista parece un keygen de private exe protector  (en general conozco muchos packers )

no es algo facil de hacer pero no deberia ser imposible

el mejor escrito respecto a este packer está aqui
http://ricardonarvaja.info.info/WEB/OTROS/HERRAMIENTAS2/L-M-N-O-P/Private_exe_Protector_unpacking_deep0.raro

debes renombrar a .rar (está en inglés) y usa ollydbg +windows xp entre otros.

baje desde youtube para confirmar mi  teoria del packer y mira en Protection id que dice:


-=[ ProtectionID v0.6.6.7 DECEMBER]=-
(c) 2003-2015 CDKiLLER & TippeX
Build 24/12/14-22:48:13
Ready...
Scanning -> C:\Users\PC\Desktop\ST-4905_1Pc\ST-4905.exe
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 3314984 (0329528h) Byte(s)
Compilation TimeStamp : 0x0127F14B -> Thu 13th Aug 1970 11:28:11 (GMT)
[TimeStamp] 0x0127F14B -> Thu 13th Aug 1970 11:28:11 (GMT) | PE Header | - | Offset: 0x00000108 | VA: 0x00400108 | -
[File Heuristics] -> Flag #1 : 00000000000101011000000000100000 (0x00158020)
[Entrypoint Section Entropy] : 7.27 (section #0) ".CODE   " | Size : 0x3202 (12802) byte(s)
[DllCharacteristics] -> Flag : (0x0000) -> NONE
[SectionCount] 5 (0x5) | ImageSize 0x31E57000 (837120000) byte(s)
[!] Private EXE Protector v3.4.0 (or newer) protected !
- Scan Took : 0.344 Second(s) [000000158h (344) tick(s)] [315 of 573 scan(s) done]

tambien dice lo mismo :S

bueno un saludo, no dispongo de mucho tiempo sino seguiría viendo más, pero con esto ya sabes donde buscar

Saludos Apuromafo

http://blog.apuromafo.net/?p=659

te resumo lo visto
el programa usa un stub propio en tls para ejecutar antes de ejecutar verifica que tiene las dll, una vez resuelto eso corre el programa, sin el oep el programa no corre

una vez reparado el oep viene el problema real...las nanomites, este programa tiene mas de 2mil ints3 en el programa y deben ser manejados por el padre, yo no se como solucionarlos, pero no falta el que pueda tener mas experiencia que yo (leer tutoriales al respecto) o usar otra estrategia como el uso de inline

Saludos Apuromafo

yo que tu usaria x64dbg, luego usaria comando hide (y me olvidaria de parchar isdebuggerpresent)...

normalmente para foxpro, se decompila, se hace uso de herramientas ejemplo corso y otros, es un tema largamente hablado (a usar el buscador)

luego de decompilar, es analizar el codigo y recompilar (o hacer keygen ) dependiendo de tu experiencia

este foro no es para pedir cracks y el privado tampoco, por eso es bueno aprender buscar y luego opinar hasta donde has llegado...

Saludos Apuromafo

segun veo debe ser el tema de la plataforma x64 bytes, respecto de depurar programas con armadillo lo he hecho hace mucho..asi que no es para complicarse..solo debe ser eso (mi plataforma es diferente por lo que agrega dlls diferentes asumo)..

Saludos Apuromafo

facil y bonito: en esta ruta, deja el unpacked
https://postimg.org/image/lx9wn7wch/
ahi ejecutas y verificas que tal te va..(sin el packer)
para modificar usas herramientas como editores de recursos  http://www.angusj.com/resourcehacker/


respecto a depurar, recuerda que olly no esta pensado para windows 7, requiere ser parchado el wow64 (permite ejecucion de x86 en 64bytes)
https://tuts4you.com/download.php?view.3302
en ollydbg hay por lo menos varias excepciones, antes de llegar al oep, eso pasa, ahora bien si es por sugerencia portate a x64dbg, no deberias tener problemas, solo re.comenzar a conocer el depurador..
http://x64dbg.com/