Mensajes

genial que te fue bien, según veo aquí te mostraron como fishear el key


https://foro.elhacker.net/ingenieria_inversa/ayuda_a_activar_este_programa-t455540.0.html;msg2080448#msg2080448


Asi que el tema deberia estar solucionado
1) desempacar
2) buscar la string de invalid key y retroceder para ver la validacion

eso, saludos Apuromafo

solo por curiosidad, te mandaré un mail pidiendote el programa para verlo por encima, posiblemente tiene algun molebox o similar...

Saludos Apuromafo

confuser es un packer/protector para archivos .net


Saludos Cordiales
Apuromafo

es una dll que no está ofuscado, para depurarlo deberias ejecutarlo desde pebrowse? o desde ollydbg
se logra apreciar, validacion de serial (que comience de alguna forma, cierto largo y comparacion)
tipo de licencia (se aprecian 2)
valicacion si estas o no registrado->hacia estar expired o no (hay variables tipo boleanas true/false) y luego lo demás está en tus manos

Saludos Apuromafo

pd:dejo las referencias que me llamaron la atención

Código [Seleccionar] Expandir


01BF5ADD  |. E8 96411200    CALL asp_dll.01D19C78                    ; \asp_dll.01D19C78
01BF5AE2  |. 83C4 08        ADD ESP,8
01BF5AE5  |. 8B4B 68        MOV ECX,DWORD PTR DS:[EBX+68]
01BF5AE8  |. 51             PUSH ECX                                 ; /Arg1
01BF5AE9  |. E8 5A431200    CALL asp_dll.01D19E48                    ; \asp_dll.01D19E48
01BF5AEE  |. 59             POP ECX
01BF5AEF  |. 84C0           TEST AL,AL
[b]01BF5AF1  |. 74 33          JE SHORT asp_dll.01BF5B26[/b]
01BF5AF3  |. 66:C745 E4 0C0>MOV WORD PTR SS:[EBP-1C],0C
01BF5AF9  |. BA 20E3D401    MOV EDX,asp_dll.01D4E320                 ;  ASCII "Registration successful. Thank you very much."
01BF5AFE  |. 8D45 FC        LEA EAX,DWORD PTR SS:[EBP-4]



lo ideal es que nopees esas 2 string o bien que se entienda que proceso hace para validar 2 tipos de licencia

Código [Seleccionar] Expandir


01BF903A  |. 83E8 01        SUB EAX,1                                ;  Switch (cases 0..1)
01BF903D  |. 894A 5C        MOV DWORD PTR DS:[EDX+5C],ECX
01BF9040  |. 72 07          JB SHORT asp_dll.01BF9049
01BF9042  |. 74 27          JE SHORT asp_dll.01BF906B
01BF9044  |. E9 9E000000    JMP asp_dll.01BF90E7
01BF9049  |> 68 BC02D501    PUSH asp_dll.01D502BC                    ;  ASCII ".site"; Case 0 of switch 01BF903A
01BF904E  |. 8B3E           MOV EDI,DWORD PTR DS:[ESI]
01BF9050  |. 8B47 60        MOV EAX,DWORD PTR DS:[EDI+60]
01BF9053  |. 50             PUSH EAX
01BF9054  |. E8 4F7B1300    CALL asp_dll.01D30BA8
01BF9059  |. 83C4 08        ADD ESP,8
01BF905C  |. 8B16           MOV EDX,DWORD PTR DS:[ESI]
01BF905E  |. C642 74 01     MOV BYTE PTR DS:[EDX+74],1
01BF9062  |. 8B0E           MOV ECX,DWORD PTR DS:[ESI]
01BF9064  |. 33DB           XOR EBX,EBX
01BF9066  |. 8959 68        MOV DWORD PTR DS:[ECX+68],EBX
01BF9069  |. EB 7C          JMP SHORT asp_dll.01BF90E7
01BF906B  |> 68 C202D501    PUSH asp_dll.01D502C2                    ;  ASCII ".single user"; Case 1 of switch 01BF903A
01BF9070  |. 8B06           MOV EAX,DWORD PTR DS:[ESI]
01BF9072  |. 8B50 60        MOV EDX,DWORD PTR DS:[EAX+60]

Código [Seleccionar] Expandir


[b]01D19375  |. 72 0C          JB SHORT asp_dll.01D19383                ;  debe saltar 1[/b]
01D19377  |. 48             DEC EAX
01D19378  |. 0F84 D2020000  JE asp_dll.01D19650
01D1937E  |. E9 75030000    JMP asp_dll.01D196F8
01D19383  |> 837B 74 00     CMP DWORD PTR DS:[EBX+74],0              ;  Case 0 of switch 01D19372
[b]01D19387  |. 0F85 6B030000  JNZ asp_dll.01D196F8                     ;  debe saltar 2[/b]
01D1938D  |. 837B 78 00     CMP DWORD PTR DS:[EBX+78],0
01D19391  |. 0F84 50010000  JE asp_dll.01D194E7
01D19397  |. 53             PUSH EBX
01D19398  |. E8 B7090000    CALL asp_dll.01D19D54
01D1939D  |. 837B 78 07     CMP DWORD PTR DS:[EBX+78],7
01D193A1  |. 59             POP ECX
01D193A2  |. 0F85 DA000000  JNZ asp_dll.01D19482
01D193A8  |. 6A 0A          PUSH 0A                                  ; /Arg3 = 0000000A
01D193AA  |. 8D55 D0        LEA EDX,DWORD PTR SS:[EBP-30]            ; |
01D193AD  |. 52             PUSH EDX                                 ; |Arg2
01D193AE  |. 0FB74B 2C      MOVZX ECX,WORD PTR DS:[EBX+2C]           ; |
01D193B2  |. 51             PUSH ECX                                 ; |Arg1
01D193B3  |. E8 70F90100    CALL asp_dll.01D38D28                    ; \asp_dll.01D38D28
01D193B8  |. 83C4 0C        ADD ESP,0C
01D193BB  |. 8D4D C4        LEA ECX,DWORD PTR SS:[EBP-3C]
01D193BE  |. 6A 0A          PUSH 0A                                  ; /Arg3 = 0000000A
01D193C0  |. 51             PUSH ECX                                 ; |Arg2
01D193C1  |. 0FB743 2E      MOVZX EAX,WORD PTR DS:[EBX+2E]           ; |
01D193C5  |. 50             PUSH EAX                                 ; |Arg1
01D193C6  |. E8 5DF90100    CALL asp_dll.01D38D28                    ; \asp_dll.01D38D28
01D193CB  |. 83C4 0C        ADD ESP,0C
01D193CE  |. 8D55 B8        LEA EDX,DWORD PTR SS:[EBP-48]
01D193D1  |. 6A 0A          PUSH 0A                                  ; /Arg3 = 0000000A
01D193D3  |. 52             PUSH EDX                                 ; |Arg2
01D193D4  |. 0FB743 32      MOVZX EAX,WORD PTR DS:[EBX+32]           ; |
01D193D8  |. 50             PUSH EAX                                 ; |Arg1
01D193D9  |. E8 4AF90100    CALL asp_dll.01D38D28                    ; \asp_dll.01D38D28
01D193DE  |. 83C4 0C        ADD ESP,0C
01D193E1  |. BE F079D501    MOV ESI,asp_dll.01D579F0                 ;  ASCII "The application has expired! First start: "


Código [Seleccionar] Expandir

01D192BC   MOV ESI,asp_dll.01D58DAF                  ASCII "SOFTWARE\OptimalPrograms\CLSID\"
01D193E1   MOV ESI,asp_dll.01D579F0                  ASCII "The application has expired! First start: "
01D19454   PUSH asp_dll.01D58DD5                     ASCII ". Please contact us at contact@Apuromafodepurando.com"
01D19470   PUSH asp_dll.01D58E08                     ASCII "Warning"
01D19488   MOV ESI,asp_dll.01D57DD8                  ASCII "The application has expired("
01D194B9   PUSH asp_dll.01D58E10                     ASCII ")! Please contact us at contact@Apuromafodepurando.com"
01D194D5   PUSH asp_dll.01D58E44                     ASCII "Warning"
01D19547   MOV ESI,asp_dll.01D581C0                  ASCII "The application has expired! First start: "
01D195BA   PUSH asp_dll.01D58E50                     ASCII ". Please contact us at contact@Apuromafodepurando.com"
01D195D6   PUSH asp_dll.01D58E83                     ASCII "Warning"
01D195EE   MOV ESI,asp_dll.01D585A8                  ASCII "The application is not registered! "
01D19622   PUSH asp_dll.01D58E8B                     ASCII " days left! You may contact us at www.Apuromafodepurando.com"
01D1963E   PUSH asp_dll.01D58EC5                     ASCII "Warning"
01D1966C   PUSH asp_dll.01D58F1F                     ASCII "Error"
01D19671   PUSH asp_dll.01D58ECD                     ASCII "Fail to initialize application ! Please contact us at contact@Apuromafodepurando.com"
01D19686   MOV ESI,asp_dll.01D58990                  ASCII "The application is not registered! "
01D196CF   PUSH asp_dll.01D58F25                     ASCII " days left! You may contact us at www.Apuromafodepurando.com"
01D196EB   PUSH asp_dll.01D58F5F                     ASCII "Warning"

yo conozco el corso 6
http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/Corso_6.rar



pero si realmente necesitas el 7

http://vetusware.com/download/Corso%207/?id=8817

Código [Seleccionar] Expandir

user:fake@yopmail.com
clave:123456


luego de loguearte podras bajar eso y mas

Saludos Apuromafo


si la idea es desempacar refox, hay un tute de giv disponible aqui:
https://www.uret.in/forums/topic/793-unpaking-refoxvisual-fox-pro-obfuscator/#comment-4852 en inglés

o si quieres encontrar al autor en su foro original
https://rstforums.com/forum/topic/47962-refox-branded-files-level-ii-or-iii-unpacking-decrypting/#comment-385033


tambien existen herramientas como defox iv para proteger los visualpro, solo como referencia:
https://www.foxite.com/archives/download-link-for-latest-defox-0000412423.htm


Saludos Apuromafo

bueno eso

lo basico seria en palabras simples usar de4dot, usar dnspy y con reflector con reflexil o bien con editor hexadecimal cambiar lo que quieres cambiar

no existen herramientas únicas en punto net, en inglés como tuts4you encontrarás unos cientos de herramientas para reparar el peheader , desempacar programas en .net y mas, pero requiere un nivel básico de inglés

he visto varios .net en mi vida, pero no me he incursionado mucho, casi siempre me pillaba con sorpresas que el serial era comparar y listo, o bien entender la rutina y listo


Saludos Apuromafo
hay tambien retos de hechos en .net en http://crackmes.de/

uno de los que usé aquella tool fue este: y está en .net
http://crackmes.de/users/thunder_cls/ncrackme_v0.1

mi keygen fue codeado en delphi que aprendí en unos dias y con muchos ejemplos base
bueno eso espero que ayude para darte ideas

cuando tienes un archivo punto net, debes entender los principios


pero mas o menos casi siempre los .net usan lenguaje intermedio il /msil

entonces el tema real es que entre mas sepas codificar en .net puedes modificar a gusto el código de fuente, el problema real es que van creciendo en algunas cosas
1) ofuscacion
2) encriptacion

el codigo de fuente es accesible, ya que los .net son asi, pueden ser decompilados y re-compilados dependiendo la experiencia del cracker

las sugerencias básicas son estas
1) desofusca conforme puedas con de4dot->  http://de4dot.com/

luego descompila con reflector (google te indicará que es trial, pero igual hay crackeds)
o bien depura con DNSpy

si necesitas buscar herramientas para .net busca packs dotnet, ejemplo:

http://www.at4re.com/f/showthread.php?5859-DotNet-Tools-Pack


pero en mi experiencia aprende mejor a depurar programas en .net, pero para ello necesitarás saber algo de inglés (si quieres buscar tutoriales al estilo de ricardo) por kurapica o en blackstom team, o bien en español hay


o comenzar con el principio basico de todo

busca hacer un hola mundo, mensajes, eventos threads y mas y luego de entender en un lenguaje .net , depura tu propio código

mas o menos el principio es asi
hay 1 dll que importa todos los métodos según en lenguaje, luego carga los form (1, 2,3,4,5 etc) luego los eventos estan ordenados con su codigo y los recursos se cargan conforme se necesitan

la realidad luego para el cracking es leer ese codigo ya sea para que hagas lo que deseas
debes dominar los cambios hexadecimales,

el compilador convierte el codigo de programacion
en un lenguaje intermedio (IL) las cuales contienen instrucciones
diferentes a las que estamos habituados en windows, antes de
ejecutarse una aplicacion, el codigo IL debe ser convertido a
codigo de maquina (binario), el encargado de eso es JITcompiler
(Compilador instantaneo). Todo un invento de mocosoft para
el desarrollo de aplicaciones por  ejemplo alguna idea es buscar los saltos logicos designados como  Branch y si ya tienes ubicado el salto solo tienes que invertirlo
a su valor con un editor hexadecimal o con reflexil en net reflector.

Por ejemplo un 39 brfalse ===> 3a brtrue,

OpCodeTable:
https://mega.nz/#!r5BCza4B!20CLLK5ESPlSxB0iFm-q2I9x_UeBJmOHRufG51hPq0g
CRACKEANDO APLICACIONES .NET PARTE I:
https://mega.nz/#!q45XWTJB!p2WqkseljVsgcvuQKFvmgGOEE33C8st_iJ2IKu8wDzs

o bien coloca "net" en http://ricardonarvaja.info/WEB/buscador.php

asprotect es un packer que genera mucha ofuscacion, cifrado y además tiene opción de sdk

por otro lado existen unpackers para ollydbg como codedoctor, unpackers por rusos llamado DecomAS, y también existen herramientas y tutes para inlinearlo

si bien parece un packer con pocas capas, tiene bastante dificultad como para que lo hagas en 2 días sin conocimiento que aparece en faq (tutorial de ricardonarvaja completo a lo menos)

por otro lado a primera vista la iat está un poco desordenada luego de desempacar, y pareciera ser un delphi o vc podrias complementar con IDA cuando ya tengas mas experiencia

por otro lado, solo para demostrar que es posible desempacar con codedoctor:
https://mega.nz/#!K1ElSAqK!dfc0yZky3xDgPNOanVwFXgrr19BUIqUgRYHPBzJapRY

saludos
Apuromafo CLS

leo con tranquilidad que quieres insertar un pequeño injerto

hay ciertos detalles a considerar cuando cambias un byte

1)el programa está empacado?, esto influye porque el lugar donde escribes puede que esté está protegido contra escritura, aunque de comienzo tenga permisos de escritura o bien que tenga verificacion de crc.

2) el programa si no está desempacado la sección que está influye bastante
ya que si no tiene permiso para escribir en el lugar hará una excepción,que hará que no funcione

3) digamos que usas topo
herramienta disponible en http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/Q-R-S-T-U/topo12corregido.rar


indicado en la parte anterior, determinas no se 100 o 200 bytes de espacio libre o el tamaño que quieras ,tu código será algo asi

nop
nop
nop
NOp por cantidad de bytes ...
JMP entrypoint

lo ideal que hagas es que coloques en este  entrypoint lleno de nops algo asi


pushad ;guarda los registros
injerto a realizar (cambiar una direccion, redireccionar o lo que quieras)
// cambiar una direccion
ejemplo mov ptr ds:[direccion del salto],90909090 ;nopeando el lugar de destino
mov ptr ds:[direccion del salto+4],bytes  ;siguiendo la escritura de los bytes
mov ptr ds:[direccion del salto],bytes del salto a direccion del destino

la idea de los bytes es para parches a luego del salto del oep
donde antes decia jmp lugar/jne/je, ahora dirá jmp direccion2

popad ;restaura los registros
jmp entrypoint ;aqui empezara el programa....
una vez que acceda al lugar parchado irá a direccion 2 donde devolverás el flujo

direccion2:

aqui codigo que antes era nop, ahora le colocas lo que quieres hacer o cambiar etc
cmp eax,0
je siguiente
mov eax,1
siguiente:
jmp lugar retorno

una idea de injerto cualquiera es definir el espacio donde estamos

osea

entrypoint (con nops)
COdigo que cambia algunas instrucciones hacia el codecave , luego
ejemplo cambio incondicional al lugar de destino (despues de la redireccion del oep)

salto al oep (original entrypoint)
codigo del injerto donde restauras o sigues el flujo normal, parchas donde quieres
y saltas al retorno del programa tal cual como siempre



esto de usar un injerto que no altere las apis, se puede hacer sin lio cuando conoces bien el ejecutable, pero cuando ya requieres apis, debes tener cuidado de agregar a la sección iat las nuevas apis, y de cuadrar bien la sección para que sean compatibles con otros sistemas operativos...

bueno eso


la sugerencia es que si aún no encuentras bien el espacio o como administrarlo, lo ideal es que leas bien el faq y termines los escritos de ricardo narvaja

quizas de primera es complicado, pero con el tiempo comienzas a darte cuenta que no es algo complicado

Saludos Apuromafo

Cuando yo analizo un programa desconocido comienzo viendo si está empacado , si lo está se debe desempacar para tener en la ejecución normal y con ello saber que hacer

las teorias numeradas de ricardo hacen alusión al packer en algunos de los escritos

te daré una pequeña ayuda:

al comenzar el programa está empacado con PECOMPACT, al desempacar obtienes un programa visualbasic sin firma de vb6, luego de agregar la firma

56 42 35 21 36 26 2A 00 00

te darás cuenta que el programa no corre porque detecta el cambio de crc/tamaño o más, por la parte interna se logra apreciar bastantes rutinas donde el autor refiere no crack  o algo asi, dado que es un visual basic es necesario que uses programas alusivos a eso (vbdecompiler , ida y otros),

no he visto mas alla validación o algo, pero no es dificil de desempacar a tool, en caso x te sugiero el unpacker de nacho en tuts4you , pero tambien hay muchos escritos al respecto


bueno revisa la chincheta, de aquí a 6 meses deberías tenerlo completamente analizado, posiblemente algun cracker pueda dedicar mas de 5 minutos ...pero en mi caso soy bueno revisando cuando estoy motivado a ello

pd: jamás pido ni dinero ni animo, solo orientar a quien necesite ayuda

en este caso te falta nivel y experiencia de vb para llegar a más...hay en el foro expertos en el tema de crack a vb, podrías comenzar de a poco intentar primero desempacar