Mensajes

1) el archivo que pasas le falta una dependencia..
2) baje una dll de dependencia como referencia de las dll de ragnarok
http://www.mediafire.com/?739a26a7g4oec37

el resultado es :
esta empacado con MOlebox o alguna similar (salta al oep en jmp eax)
luego de manejar una sección virtual
012D002B    5D              POP EBP
012D002C    FFE0            JMP NEAR EAX

salta en eax al oep(original entrypoint)

0071754D    55              PUSH EBP
0071754E    8BEC            MOV EBP,ESP
00717550    6A FF           PUSH -1
00717552    68 48D07400     PUSH 74D048
00717557    68 702C7100     PUSH 712C70
0071755C    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
00717562    50              PUSH EAX
00717563    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0071756A    83EC 58         SUB ESP,58
0071756D    53              PUSH EBX
0071756E    56              PUSH ESI
0071756F    57              PUSH EDI
00717570    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
00717573    FF15 ACA17300   CALL NEAR DWORD PTR DS:[73A1AC]          ; kernel32.GetVersion

si uso scylla 0.7:http://www.mediafire.com/download.php?y289dcqm3jppim5
oep:
0071754D
get import,  hago el dump, fix y unpacked
http://www.mediafire.com/?umva5jdz6g2gvqt


insisto, antes de jugar con programas, aprendan a leer a lo menos los manuales del faq, asi jamas pillarán detalles importantes nisiquiera saber desempacar...molebox puede trabajar con dependencias asi que si las hubiera, solamente desempacando se pueden pillar, sin saber unpacking sera como tener un exe, sin sus dependencias (inutil)
saludos Apuromafo

pues todas las herramientas existen en el internet con tranquilidad
digamos que no tengo idea desde cuando depuras , pero mas o menos lo mas nuevo es esto:
existen a lo menos unas 12 versiones editadas de ollydbg, actualmente existe un ollydbg 2 el cual está en fase de desarrollo, la ultima version editada que me gusto ver fue el snd 2.1 (ollydbg 2 con plugin)usada por raham para vencer un packer en SND
por lo demás, pueden agregarse nuevas cosas como las estructuras de PE en .net  el cual requiere otras herramientas (reflector , y asi muchas otras)

te sugiero comenzar revisando algun recuerdo de tools en mediafire.com/apuromafo en herramientas o bien POTATO, que fue al ultimo que comparti algunos recuerdos

saludos cordiales Apuromafo
pd:existe el grupo de cracklatinos de la pagina web de ricardo narvaja, si lees el faq lo encontraras rapido, puedes encontrar miles de herramientas además de buenas personas.

digamos que cuando creas un loader buscas una forma que dure mas tiempo parchando en runtime digamos direccion 1 y direccion 2 o simplemente cerrando algo y evitando problemas

el tema es otro si actualizo a una nueva version la direccion 1 y 2 no serán las mismas, por eso hay que analizar cómo se hizo para su programa en su versión y luego confirmar en la nueva..no mas, no menos

ademas eso ya no es del todo cracking sobre algun programa hecho por uno, sino mas bien crear una tool que modifique un juego...
simplemente ayudé a desempacar un acprotect, y el cual si existe información, asi que ánimo en el proceso, hay mucho que explorar...

UN SYS , es posible depurarlo en ollydbg , pero sin apis, ni con su codigo nativo como tal, esto es casi privado del año 2008, en un concurso...

http://ricardonarvaja.info/WEB/CONCURSOS%20VIEJOS/CONCURSOS%202008/CONCURSO%201/NIVEL%202/Nivel%202%20AbsSha.zip

mas bien es posible depurarlo copiando el sys y depurarlo modo debug en windbg pero ojala con vmware..(depurar ring 0 requiere tiempo y dedicación, y sobre todo conocer windbg)

por otro lado, depurar siempre un driver lleva dolores de cabeza, yo creo que lo mas insistente seria pedir al autor del driver solicitar aquello, si no es posible, realmente de no tener la disposición de invertir mucho tiempo terminarás cansado y agotado por nada, igual dejalo de proyecto para tus tiempos libres

saludos Cordiales Apuromafo

se que nadie le importaba este tema, pero quiero revivirlo un poco aprovechando un privado de un usuario que me llegó
veamos las hazañas

1) estaba empacado con telock
2) luego de correr en runtime, desde el mismo EP, uno va a los 2 saltos tiene el oep
3) luego de reconstruir la iat (engorrosa iat tiene telock 1)
me puse mejor a buscar mis tools de unpacking y resultó, pero el oep estaba mal, asi que corregido, corre, por otro lado
abre unas 32 ventanas de mis documentos,
tiene a lo menos 2 forms de antidebug
1)la primera form ataca a los monitores, drivers y otros
2) la segunda form ataca a el Mutex (una variable que aparece buscando la ventana, si la encuentra da el error y te abre 30 o mas ventanas..

luego de vencida las 2 antidebug, hay que buscar como registrar, ahi voy...supongo que con ese paso de avance deberia ser suficiente demostrar que con un poco de ing inversa es posible resolverla...
saludos Apuromafo
pd:no sirve nada de createfileA, ni similar, estos tienen otra estrategia..(pillar el debugger y cerrar ventanas o fastidiar abriendo ventanas)

no se el porqué con tal patch fx, yo mas bien hubiese usado DUP, si quieres la idea te la diré

digamos que tienes un exe que pesa 2gb, parchas un lugar y luego el cracked pesa 2gb, el parche indicará que es de tal tamaño(size), que tiene tal direccion(raw), que tiene tal offset el no parchado, y el offset o algo a parchar ojalá sin cambiar el CRC(cosa que normalmente los depuradores si cambian), el tema es que digamos que el parche pesará 100kb, versus los 2 gb que pesaba el original, osea, el tema aqui es simplemente minimizar peso en caso de querer compartir

2) cuando compartes algo, jamas se sabe quien lo hizo, en cambio cuando ves muchos de los parchadores y keygens lo hacen con autor para que claramente sepan que no fue hecho de la nadad
3)es para cuando venga un amigo a tu pc, se copie el setup, y en vez de cambiar el cracked, se lleva un parchador

yo a mi forma de ver, no es necesario hacer parches todo el tiempo, a lo más cuando los programas se cambian de una version a otra cada x semanas y luego un parchador genérico te ayudaria , por lo demás, creo que es para que vayas conociendo diferentes tools, que permiten agregar ademas
1) musica
2)skin
3)about
4)efectos
5)opciones para el archivo, reemplazo, regedit, inlcusive loader

saludos Apuromafo

escribir mejor nunca esta mal,  el tema en si creo que lo pillarás mas en foros de gamers, como algún loader, o bien como parchar sin dañar el crc, por lo demás, aseptadas->aceptadas, lo demás se entiende...

saludos cordiales Apuromafo

[el tema es que lo desempaca pero no repara la iat]

1) si sabes de ingenieria inversa la tool no te dara nuevos indicios de lo que sigue luego de desempacar (armaFP de vel y confirmar si tiene o no nanomites y si esta bien o no la iat)
digamos que armadillo kiler es para versiones 2.6x


2) si conoces de armadillo, vamos conversemos, cual es tu duda
http://ricardonarvaja.info/WEB/buscador.php "armadillo"

yo a lo menos recuerdo estas historias
1346-Registry medic v2006 armadillo by Apuromafo.7z
1347-Registry medic v2008 armadillo by Apuromafo.7z

1290-2__Bracket Trader_manejo de la bolsa en armadillo 3.x by Apuromafo.pdf
1289-1__Armadillo v8 +v7 by Apuromafo.pdf
1292-4_essential pimp para outlock armadillo by Apuromafo.pdf
1291-3__True Launch Bar 7.4 DLL armadillo by Apuromafo.pdf
tristemente son de armadillo 4 en adelante , tambien he visto y conozco temas que jamas han sido expuestos detras del keygening , pero como estoy retirado, no creo hablar mas del tema.

3) si no conoces de armadillo y quieres usar tools, te sugiero a lo menos que busques el unpacker de armaggedon creado en arteam,
http://www.accessroot.com/arteam/site/download.php?view.262
suele ayudar bastante

una cosa es preguntar, pedir ayuda y otra muy diferente comentar con hechos: hablamos de comentarios te hago una referencia real
PID:http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/L-M-N-O-P/pidbeta_6.4.1%20july%202011%20-25-7-11%20beta_non_public.7zo


Scanning -> C:\archivos de programa\Registry Medic 2008\RegMedic.exe
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 2002944 (01E9000h) Byte(s)

• Warning - FileAlignment seems wrong.. is 0x00001000, calculated 0x00000400
  -> File has 8192 (02000h) bytes of appended data starting at offset 01E7000h
  [File Heuristics] -> Flag : 00000000000000001100001000000111 (0x0000C207)
  [!] Armadillo *Unknown Version* detected !
  [!] Possible CD/DVD-Key or Serial Check -> registration code
  [CompilerDetect] -> Visual C/C++
  - Scan Took : 0.282 Second(s) [00000011Ah tick(s)]
  
  
  C:\archivos de programa\Registry Medic 2008\RegMedic.exe
  Protected Armadillo
  File Size 2002944
  Extra data size=8192
  Load file
  <-Find Protect
  Protection system(Basic)
  <Protection Options>
  Standard protection or Minimum protection
  <Backup Key Options>
  Fixed Backup Keys
  <Compression Options>
  Minimal/Fastest Compression
  <Other Options>
  <-Find Version
  Version 4.05 07Feb2005
  <- Elapsed Time 00h 00m 00s 266ms ->
  luego tengo que la version es 4.05 y no dice nada de nanomites
  
  no discutire como desempacarlo
  simplemente comparar en que esta hecho:
  
  Armaintruder (modded)
  Armadillo version: 4.05
  Build date: 2005-02-07 17:19:47
  OEP VA: 00400000
  Raw options: 00034840
  
  -=Protection=-
  Standard or Minimum protection.
  
  -=Miscellaneous=-
  Basic version.
  Compression: minimum (RLE).
  
  
  veamos otros como AI creado por ghandi
  
  File:         RegMedic.exe
  Path:         C:\archivos de programa\Registry Medic 2008
  
  * Scan Results *
  
  Detected version:      4.05
  
  * Compression Option *
  
  Compression level:      Minimal/Fastest
  
  * Protection Options *
  
  Minimum Protection
  
  Armadillo sections:      5
  
  -> Name:         .text
  -> Raw offset:      0x00013000
  -> Raw size:      0x00031000
  -> Virtual address:      0x00113000
  -> Virtual size:      0x00040000
  -> Characteristics:      0xE0000020
  
  -> Name:         .adata
  -> Raw offset:      0x00044000
  -> Raw size:      0x0000D000
  -> Virtual address:      0x00153000
  -> Virtual size:      0x00010000
  -> Characteristics:      0xE0000020
  
  -> Name:         .data
  -> Raw offset:      0x00051000
  -> Raw size:      0x0000A000
  -> Virtual address:      0x00163000
  -> Virtual size:      0x00010000
  -> Characteristics:      0xC0000040
  
  -> Name:         .reloc1
  -> Raw offset:      0x0005B000
  -> Raw size:      0x00003000
  -> Virtual address:      0x00173000
  -> Virtual size:      0x00010000
  -> Characteristics:      0x42000040
  
  -> Name:         .pdata
  -> Raw offset:      0x0005E000
  -> Raw size:      0x00144000
  -> Virtual address:      0x00183000
  -> Virtual size:      0x00150000
  -> Characteristics:      0xC0000040
  
  Text section encrypted:   No
  Dword shuffling used:   No
  Real size of pdata:      0x00144000
  Compression type:      RLE Encoding
  
  Raw options value:      0x00034840
  Call exe OEP:      0x0052AA63
  Call dll OEP:      0x0052937F
  Offset to Security.dll:   0x0000000E
  Security.dll size:      0x00042000
  Security.dll base:      0x10000000
  CopyMem-II decrypt:   0x1002B700
  
  un log tipo de unpacking
  ArmStripper v0.1 beta 6
  (c) by BiT-H@ck, 2006-2007. Engine by Syd. Dizasm by Ms-Rem.
  
  07:01:07 - open RegMedic.exe..
  07:01:08 - starting c:\archivos de programa\registry medic 2008\regmedic.exe..
  Previously break operation...
  CreateThread break. Address:00d1abc3. Try trace to OEP...
  OEP - 004f4d74
  07:01:09 - loading modules..
  
  el tema es que lo desempaca pero no repara la iat
  
  dillo Die 1.6
  --> Thunk @ 004FDAA4 = advapi32.dll!CloseServiceHandle
  Call OEP hooked...
  --> 00D6CA39
  --> 00D6CA56
  New Thread created. ID: 0000176C
  OEP resolved to: 004F4D74
  Dumping PE Sections...
  Done. I did all of this in 43 seconds!
  Lo desempaca perfectamente
  link http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/Dillodie_1.6.raro
  se puede renombrar luego a .rar y luego descomprimir
  
  
  veamos armaggedon 1.9
  <------- 06/21/2012 07:05:26 ------->
  Loading target:
  RegMedic.exe
  PEiDVersion: PEiD v0.94
  PEiDLLVersion: PEiDLL v1.06
  file is compiled/packed/encrypted with
  Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]
  Process ID: C24
  Processing target...
  =================================
  IAT VARIABLE REDIRECTION DISABLED!
  VM address: 00D293F1
  VM variable: 00D37028
  =================================
  IAT FIXED REDIRECTION DISABLED!
  VM address: 00D2981E
  =================================
  Dumping target...
  Dump done!
  Saved to: ups.exe
  =================================
  Rebuilding Imports...
  Rebuilding Imports completed
  Return code: 0
  Now, you should test your target. Good luck
  =================================
  IAT RVA: 000FD1E0
  IAT Size: 000008C8
  OEP VA: 004F4D74
  OEP RVA: 000F4D74
  OEP call return VA: 00D2CA58
  Exit Process ID: C24
  Lo desempaca perfectamente
  
  ambos corren, y aun si detecta o no la version compresion o no, puede desempacarse, pero no del todo registrarse ...
  http://tuts4you.com/search.php?q=armadillo
  hay mucho tema de armadillo pero mas en ingles que en español
  por eso te sugiero ver el FAQ, pasar por los escritos de ricardo y luego preguntar luego tus dudas segun como vayas...

llegando a la casa te cuento (en unas 8 horas)
estoy en la universidad aun ^^

RHL si el programa no es pesado, enviamelo al pm, si es pesado, p

ues luego de ver el entrypoint, salta una exepcion, desde este seh, uno entra y va a uno de los ultimos jmp (normalmente jmp eax), luego dumpear y reparar
hay como 2 o 3 capas de descompresion, pero a lo mas todo esta explicado.

tambien existe 1 herramienta (unpacker) pero quiero testear en aquel,
si funciona o no
http://forum.tuts4you.com/topic/29064-unpacker-pecompact/


saludos cordiales Apuromafo