Mensajes

investiga en que formato imprime en pantalla  como
http://msdn.microsoft.com/en-us/library/wc7014hz(v=vs.71).aspx
printf, wprintf
que pueden usar argumentos como
http://msdn.microsoft.com/en-us/library/hf4y5e3w(v=vs.71).aspx

o algo asi, o cosas como similares a eso deberias encontrar entre el codigo y lo que ves..

pero aun asi...creo que deberias comenzar  a tracear y ver como mueve valores de contadores y las constantes como las usará

saludos Apuromafo

pd:usa IDA y la opcion pro puedes intentar crear un pseudocodigo, posiblemente tenga alguna idea cuando lo miras mas de ahi...

Yo tambien tengo el mismo problema  no logro crear el dng. Ulises me podrias ayudar?

mandale un mensaje privado

psi, el curso de ricardo fue hecho en xp, si algun dia tienes lios, intenta montarte una maquina virtual y seguir los pasos , yo suelo usar Oracle VM virtualbox en W7

por otro lado el menu de las opciones de ollydbg es amplia, sobre todo en tema de permisos

en windows 7 por ejemplo a diferencia de windows xp, cuando vas a una api por ejemplo apuromafoapi  tenemos esto

push ebp
comandos
jmp win32apuromafoapi

y luego ese salto recien dara un bufer con heap, con la api, osea hay como mucho mas codigo involucrado detras de windows 7

por otro lado, no significa que no hayan bug o errores, siempre los habràn.

para colocar bp y otros actualmente en windows 7 ocupo ollydbg2  con plugins de la antepenultima version

por otro lado suerte en la exploraciòn, hay de todo

saludos Apuromafo

pues a experiencia a lo mas puedes pillar que usa un comando llamado
"CPUID", de lo demas, robar el recurso, pero nada que dañe considerablemente al pc, es usado realmente para ocultar su codigo  y realmente es descomunal el daño, aunque igual algunas cosas si se pueden recuperar

por otro lado, creo que  como packers es como los mas extraños que he crackeado, pues el unpacked  o inlined suele correr solo en la maquina de origen gracias al CPUID( como que deja incompatible una con otra..)

pero de lo demas nada

saludos Apuromafo

pd:desde el 90 o mas digamos que antes solo comprimia, luego ofuscacion, luego ofuscacion maquina virtual, luego ofuscacion maquina virtual, import destruction, luego lo mismo pero en vez de destruir EMULABA las instrucciones de iat, luego se roba los recursos haciendo hook, y para que decir actualmente, tiene hasta sdk

realmente es un programa extremadamente caro y que solo los chinos(posiblemente grupos de cracking) creadores de strongOD pusieron su campaña de intentar en lo posible poder desempacar con ese plugin Vmprotect

por lo demas, nada grave

saludos Apuromafo

pd_siempre guiate con las fuentes originales,

cuidate bro, entonces tal cual como siempre , quienes tengan tiempo libre de participar cuando esten en cracklatinos participan ahi con sus tutes a fin de mes ^^

pues pongamos ejemplos bonitos
http://faydoc.tripod.com/cpu/jbe.htm

en cuanto a otros

, digamos que upack o otros packers cuando terminan de desempacar ahora la variable no es cero por lo tanto salta

armadillo, asprotect, buscan dar excepciones y usan saltos para jugar con el tema de la iat

y asi suma y sigue, lo importante es reconocer que son saltos y que trabajan con condiciones, a modo que en vez de estar ensamblando todo el tiempo , puedes cambiar el flag y testear si resultara parchado

saludos Apuromafo

revisa tambien el comando



CPU Disasm
Address   Hex dump          Command                                  Comments
0081EDF5     \60            PUSHAD
0081EDF6      9C            PUSHFD


CPU Disasm
Address   Hex dump          Command                                  Comments
0081EE50      61            POPAD
0081EE51      9D            POPFD
0081EE52    ^ E9 5BB5CAFF   JMP 004CA3B2

te lo hare mas facil

cuando comparas 2 numeros hay 3 opciones

que sean iguales, que sean diferentes y que sean (mayor o menor)

pues eso hace, el tema es que la validacion lo hara por un flag o bandera
luego si dice

cmp eax,7  y eax es 7
je   lugar  (saltara porque es igual)
pero la bandera estara dada por 0 y 1.. si salta o no ira en eso..

pero el tema ahora es el tema del salto como tal si es JB versus JNB  (hay diferencia, pues uno saltara si son iguales y el otro si no son iguales)


lo importante es que a la fecha no he visto programas que jueguen con los flag , solo los packers

asi que suerte en todo lo que estas viendo... intenta seguir leyendo

ok, luego que lo desinstales y coloques cosas mejores como algun eset antivirus

pues abre con permiso de admin esto;
http://www.mediafire.com/download.php?nzymzj1t5ky

esto deberia desactivar o bien hihackthis , el bloqueo que tiene por defecto en el atl+control+suprimir que hace hacia la barra de taras  (taskexplorer)

saludos cordiales Apuromafo

pues por eso es un portable , no es un exe para desempacar normal, a lo mas se podria colocar el inline o otras cosas

pero desempacar como tal no creo

estos portable son aveces alguna vez denso..habria que checkear como confirmar de donde saca la pass /createFileA y depurar todo lo que sigue luego de que abra el archivo cdd

por ende hay que leer textual lo que dice el cdd

a modo de tener todo el codigo y saber si sirve o no

Código [Seleccionar] Expandir


EAX 01B1EFC8 ASCII "W",
"7KG12-0D98D-SGBI6-8FYCP-981IC-UXYVK",
"40YQZ-55295-337G5-F7730-GPK0G-R33G9",
"KHBUK-Y364I-OBIH3-DH9F1-U5ACN-VT536",
"4L73C-47K06-8HTH0-77V98-7PLR2-6OIS0",
"7S9P7-NH9H6-Y42LX-8I766-61E27-GH0IC",
"7F4X6-978WS-6PT9R-Q9WLD
ECX 00006D47
EDX 00000000
EBX 00022DAE
ESP 0012F698
EBP 0012F6A0
ESI 01B03AAC ASCII "ScanG == "" then vScanG = "true"; end
vScanI = Registry.GetValue(HKEY_CURRENT_USER, vRegKeyRootData, "ScanI", false);
if vScanI == "" then vScanI = "true"; end

-- REPORTESCPU Dump
Address   Hex dump                                         ASCII
01BBD41C                                   20|22 38 35 30|             "850
01BBD42C  39 31 37 32|30 30 30 38|30 31 33 31|32 35 36 38| 9172000801312568
01BBD43C  36 35 33 34|32 39 30 31|35 32 32 38|30 32 37 30| 6534290152280270
01BBD44C  22 3B 0D 0A|50 41 53 53|5F 45 4E 43|52 49 50 54| ";
PASS_ENCRIPT
01BBD45C  45 44 5F 55|50 44 20 09|09 3D 20 22|38 35 30 4A| ED_UPD = "850J
01BBD46C  39 45 37 32|30 3D 30 51|30 58 30 31|33 31 32 3D| 9E720=0Q0X01312=
01BBD47C  33 22 3B 20|0D 0A 50 41|53 53 5F 45|4E 43 52 49| 3";
PASS_ENCRI
01BBD48C  50 54 45 44|5F 53 55 50|45 52 20 09|3D 20 22 25| PTED_SUPER = "%
01BBD49C  3F 2D 33 AA|32 B7 24 36|B7 24 2A 5E|25 40 21 23| ?-3ª2·$6·$*^%@!#
01BBD4AC  50 76 3E 2B|22 3B 0D 0A|50 41 53 53|5F 45 4E 43| Pv>+";
PASS_ENC
01BBD4BC  52 49 50 54|45 44 5F 46|49 4C 45 09|09 3D 20 22| RIPTED_FILE = "
01BBD4CC  40 2A 32 26|23 29 5F 26|39 24 21 5F|37 61 3D 2D| @*2&#)_&9$!_7a=-
01BBD4DC  5E 25 23 40|7D 50 7B 6E|24 33 74 22|3B 20 0D 0A| ^%#@}P{n$3t";

01BBD4EC  74 6D 70 5F|61 63 74 20|09 09 20 09|09 3D 20 5F| tmp_act = _
01BBD4FC  54 65 6D 70|46 6F 6C 64|65 72 2E 2E|22 5C 5C 74| TempFolder.."\\t
01BBD50C  65 6D 70 5F|6A 73 6B 73|6C 22 3B 0D|             emp_jsksl";




las peticiones de crack estan prohibidas

por otro lado, como era el entrypoint?
cuando llegaste al oep, que es lo que ves?

copia algunas screenshoot de tu trabajo

saludos Apuromafo

pd:ahi tienes 3 tipos de herramientas que son totalmente hacia tiros distintos:

.net:Reflextor.v7.3.0.18 + reflexil + deblector,
visual basic:VBReFormer,VBdecompiler
fox: Refox MMII


tiene estilo como UPX, luego de desempacar UPX (pushad popad jmp oep)

estamos aqui

CPU Disasm
Address   Hex dump          Command                                  Comments
0064493B    E8 1EFE0000     CALL 0065475E
00644940  ^ E9 78FEFFFF     JMP 006447BD

pero muchos lua, y ademas se ve algo curioso  ves ese CDD ??

eso significa que fue hecho con algun programa como multimedia media player como un archivo semi portable

Código [Seleccionar] Expandir

Dump - usb-av:00401000..00A72FFF
Address   Hex dump                                         ASCII
00858450  5C 41 75 74|6F 50 6C 61|79 5C 00 00|2E 63 64 64| \AutoPlay\  .cdd
00858460  00 00 00 00|45 72 72 6F|72 3A 20 43|6F 75 6C 64|     Error: Could
00858470  20 6E 6F 74|20 66 69 6E|64 20 64 61|74 61 20 66|  not find data f
00858480  69 6C 65 2E|00 00 00 00|7B 34 45 42|30 33 42 34| ile.    {4EB03B4
00858490  39 2D 43 32|32 31 2D 35|43 32 42 2D|35 34 37 33| 9-C221-5C2B-5473
008584A0  2D 33 38 30|38 30 46 38|30 31 39 30|44 7D 00 00| -38080F80190D}
008584B0  45 52 52 4F|52 3A 20 46|61 69 6C 65|64 20 74 6F| ERROR: Failed to
008584C0  20 69 6E 69|74 69 61 6C|69 7A 65 20|75 6E 7A 69|  initialize unzi
008584D0  70 20 6C 69|62 72 61 72|79 2E 00 00|45 52 52 4F| p library.  ERRO
008584E0  52 3A 20 46|61 69 6C 65|64 20 74 6F|20 69 6E 69| R: Failed to ini
008584F0  74 69 61 6C|69 7A 65 20|7A 69 70 20|6C 69 62 72| tialize zip libr
00858500  61 72 79 2E|00 00 00 00|46 61 69 6C|65 64 20 74| ary.    Failed t
00858510  6F 20 69 6E|69 74 69 61|6C 69 7A 65|20 73 6F 75| o initialize sou
00858520  6E 64 20 73|79 73 74 65|6D 3A 20 25|73 00 00 00| nd system: %s
00858530  78 79 68 74|32 35 6E 48|67 34 66 35|32 73 4C 6F| xyht25nHg4f52sLo
00858540  30 6D 77 34|4A 69 38 34|6B 69 33 71|69 00 00 00| 0mw4Ji84ki3qi
00858550  5F 70 72 6F|6A 2E 64 61|74 00 00 00|00 00 00 00| _proj.dat
00858560  4C 75 61 20|2D 20 54 68|65 20 50 72|6F 67 72 61| Lua - The Progra
00858570  6D 6D 69 6E|67 20 4C 61|6E 67 75 61|67 65 0D 41| mming Language
A
00858580  72 67 75 6D|65 6E 74 20|25 64 20 6D|75 73 74 20| rgument %d must
00858590  62 65 20 6F|66 20 74 79|70 65 20 25|73 2E 45 43| be of type %s.EC
008585A0  00 F0 0F 00|C0 0C 00 D0|0D 00 00 00|46 61 69 6C|  ð À Ð
   Fail
008585B0  65 64 20 74|6F 20 65 78|74 72 61 63|74 20 70 72| ed to extract pr
008585C0  6F 6A 65 63|74 20 66 69|6C 65 20 74|6F 20 6D 65| oject file to me
008585D0  6D 6F 72 79|2E 00 00 00|46 61 69 6C|             mory.   Fail