Mensajes

la deteccion de isdebuggerpresent es solo entre 0 y 1, o un salto, sugiero sigas leyendo

respecto de la string, en algun lado está almacenado , de más que lo encuentras en search all reference string


bueno paso a paso, leyendo es como se aprende, te sugiero aprendas a usar ollydbg en xp sp3, si no tienes ese s.o. intenta en una máquina virtual...

un saludo Apuromafo

esta herramienta es de forma gratuita NO en exetools, sino en tuts4you,

hay funciones ocultas para temas de inline y extensiones similares,

está inclusive con sus códigos de fuente
http://forum.tuts4you.com/topic/30559-armadillo-tool/

yo soy de los que fui compartiendo información de armadillo, y mr.exodia lo convirtió en tool, luego fue descubriendo más y salió todo esto...

Posted 20 October 2013 - 01:50 PM
Updated to 0.2alpha27

changelog:
- fixed a bug with copy in Certs tab (right click to copy data)
- fixed a bug with saving DLL files (first executable *.exe was selected instead of *.dll)
- added a browse button (requested by MB! and apuromafo and maybe someone else too)
- fixed a bug with reporting an ECDSA MD5 while it was never used by the target (Armadillo v4.x and 3.x)

Attached in first post.

si alguien quiere crear un mirrow, no hay lio, pero baja de lo mas normal por mega

pasos necesarios
1) navegador compatible ejemplo chrome
2) presionar Download  y luego eso es todo..

aunque no cuestiono la creación del keygen, siempre son buenos los tutoriales o lo que aprendiste, espero si es público o quieras compartir un manual, nunca estará mal.

saludos Apuromafo

ahora estos mismos códigos los puedes ver "ensamblando en ollydbg", actualmente no tengo ollydbg en este pc, pero de igual forma
puedes ensamblar todos esos códigos  de una vez con multiassembler de michael  o IDAFICATOR de at4re (es un plugin)

o bien linea a linea con espacio(ensamble) , en cualquier programa desde su entrypoint , cuando terminas lo cual puedes hacer un simple f7 y confirmar los valores en eax, de cada uno, luego irás al panel de registros, miras eax  y en edit, tienes todos los valores anteriores.

yo actualmente lo anterior lo hice con una calculadora de windows , mientras estaba en clases de didáctica de geometría.

los plugins de una version eran de un tipo de string, en la segunda versión cambió el tipo de string, ejemplo de ascii a unicode, tuvo que hacer bastante, además de colocara para que ollydbg era compatible, cambiando los parámetros entre uno y otro

el tema más que de la versión es saber usarlos, creo que lo único que uno debe agregar al olly 2 es la posibilidad de el call stak, o bien el de usar los script, pero por otro lado no cambia el sentido del debugger

otros usan inmunity,si al final son el mismo principio, bueno, en cosas de gustos, luego viene el uso de IDA, el uso de decompilers, de analizar y explorar

a mi punto de vista es más manejable el olly 2 que el 1, pero aún le queda mucho en el camino de los plugins

saludos Apuromafo
pd:hay muchas modificaciones en olly, tanto el 1 y el 2 se pueden hacer.

h=hexadecimal
la 1= 00001F30

estamos claros que hay cosas que son faciles de mil, estoy de acuerdo con las operatorias en hexadecimal, pero idealmente veamos la parte decimal, donde ocurre el error:
2030hexadecimal= 8240 decimal
100hexadecimal= 256 decimal
resultado de la resta= 7984decimal=1F30 hexadecimal

viendolo de otra forma antes del 20, viene el 1F, es un sistema de 16 ,su principio de formación podemos explicarlo que  cada numero en la misma base es 10, osea en la posición 16 es 10 (pues la base es 16)  luego llegará de A a F para llegar otra vez a formar el 20  , por lo cual si resto 20-1 (mirando las centenas), tenemos 1F  y no 19 , pues estás restando en hexadecimal y el numero anterior de formación era la F y no el 9
 
en las sumas y restas anterior, los numeros no sobrepasaban el 10, en este caso agregar de 20 a 25 y 20 no hay mucha diferencia, pero si restar uno se nota de inmediato.   saludos




el sentido del segundo en cantidad??

es como irá variando el número o registro cuando cambias ciertos registros,
eax= 4932 hex  en decimal signed o unsigned=18738
AX=4932 h  =18738
AH=49 h    =73
AL=32 h    =50

al sumar ax 45h  sea 69decimal tenemos  18738+69, luego tenemos 18807decimal  y ahora ax= 4977
lo cual cambia el registro ah y al, pero ah ya era 49, pero al antes era 32, pero ahora de 32 ahora vale 77, pues ah=49h y al=77h

al restar a al 0a  es restar 10, osea de 77h que es 119d  le restamos el 0a osea 10d y queda 109 osea 6d


lo ideal o normal a pensar es que si modifico ax, los registros ah o al, no está directamente relacionado y la verdad es que si, de otra forma no me explico que estás intentando lograr.

pero no tardas nada en crearte uno nuevo

yo me hice el valiente y intenté crackear todo execryptor que se me cruzaba por delante, el tema es que luego aparecieron mezclas peligrosas  Execryptor+otro packer y así suma y sigue, ejemplo una vez recuerdo haber logrado pasar todo el execryptor y plash me pillo dentro un winlicence o themida, las sdk de execryptor en la gran mayoría las conozco, pero de las de themida no tenía ni idea, con ayuda de LCF logré hacer bastantes cosas en ese ejecutable, pero de igual forma, perdí mucho tiempo sin lograr nada significativo, no es facil decir creen este inline si lo que ocurre es que es complicado que escriba una cosa y lea otra

por otro lado, no es imposible, inclusive existe trial reset que borra las entradas de regedit de execryptor

http://www.ricardonarvaja.info/WEB/buscador.php  "execyptor"

hay un super compendio de evolution, en tuts4you hay tutoriales de Sunbeam, kioresk, LCF  todos hablan temas diversos

evolution: como desempacar y en parte reconstruir
Sunbeam: sobre las sdk, reconstruir codigo y quitar la máquina virtual en ciertos execryptor
LCF: formas de desempacar genéricas, video tutoriales y mas.

yo: he visto muchos execryptor, algunos son más dificiles que otros, el antitrace y las sdk son formas de evitar tracear o sacar información sensible o importante, pero quien realmente le interesa registrar un programa con execryptor, pierde muchisimo tiempo. Ejemplo CANU 
no es algo que algun novato o nuevo pueda hacer a la brevedad

herramientas sugeridas para cualquier execryptor:
un ollydbg para execryptor edition,
script que ayuden a encontrar el oep (virtual) o el oep real:
script para quitar la VM, o usar tools otorgadas en el mega compendio de evolution
reconocer el check de CRC según versión  (método enseñado por kioresk)
reconstruir código (enseñado por sunbeam, y otros)
unpacker por RSI  (mejor en su especie) para encontrar el oep
o bien inlinearlo (método por sunbeam entre otros autores, usando la técnica de RSI o teams privados)

saludos Cordiales, Apuromafo
pd:enviarlo para mi sería perder muchisimo tiempo

algún crackme para conocer execryptor
http://crackmes.de/users/relayer/execryptor_official_crackme/
pd: el oep real de ese crackme es 44301C , en la solución inglesa de kao fue reconstruido y explicado bastantes cosas importantes, otras importantes son de haggar en versiones anteriores, y de otros autores

Insisto, este tema de execryptor da para mucho tiempo, tendrás que terminar las teorías numeradas (en las últimas ricardo narvaja revisa execryptor)