Mensajes

[Advertencia - mientras estabas escribiendo, fueron publicadas 2 respuestas. Probablemente desees revisar tu mensaje.]

aunque no tengo ni forma de depurar nada en este pc
y ya deje esto como 2do plano te comento
Advertencia - mientras estabas escribiendo, fueron publicadas 2 respuestas. Probablemente desees revisar tu mensaje.

luego de desempacar (no se de que version o que herramientas usas), queda el tema de CRC, (sacar las secciones inutiles), re-dirigir codigo util que esta como antidump, verificar si hay x-bundle osea mas de 1 archivo en el programa, luego de haber perdido la semana depurando, está el tema mayor, decodificar el cisc o risc, para llegar a conclusiones si realmente es una macro o es un código del programa
el tema es que hay algunos que son
mov eax,ebx
call lugar
y luego para crackear debes hacer
mov eax,ebx
mov eax,1
ret/ret4 dependiendo del tamaño

pero son otros temas

hay varios tutoriales en el curso de ricardo, espero te sirvan si los sabes leer o buscar

busca:
http://www.ricardonarvaja.info/WEB/buscador.php
con "themida", "orean","Winlicense"
entre otros, sacarás ideas provechosas eso espero

saludos Apuromafo
pd:ese packer es peso pesado, asi que si no sabes de ing inversa, creeme que no podras hacer mucho

de necesitar mas referencia , hay en ingles herramientas utiles  sobre todo en tuts4you.com de LCF, deathway, quoseyo entre otros

muchos post y pocos intentos
espero a futuro puedan analizar más
1) usar programas que analizen si posee alguna criptografia
2) depurar el programa con un monitor de apis como Kam de kakeware  o bien herramientas como Regmon y filemon
esto seria semi literalmente la sugerencia de Under:
Yo me basaría en la API CreateFile o OpenProcess (El cual se encargan de abrir, o modificar archivos).

con respecto a las APIS, es un código que viene integrado en una tabla (de importaciones y exportaciones) dentro de una dll, la cual normalmente es guardada en system32 (para dlls de sistema operativo) el cual siempre esta ahi,
Ahora bien Cuando uno depura un programa , al abrir puede colocar un Bp en la Api (de alguna dll cargada en memoria), luego dar ejecutar y ver los parametros que se pasan a ahi y luego quitar el bp o bien usar BP condicionales , todo depende en su programacion (fox, .net, visual basic, c++, empacados (protegidos), y aveces nisiquiera esta la protección y lectura en el programa, aveces están en las dll que le acompañan en runtime(en ejecución) ), las apariencias engañan en cuanto a los archivos, aveces son recursos externos, aveces escritos en ascii, hexadecimal y otros (por ejemplo los archivos .docx de word 2007/2010 es un simple archivo en estructura msi, pero tiene la forma de decomprimirse como cualquier sfx osea como un aarchivo comprimido como si fuese zip o rar)



aparte de encontrar referencias en Los archivos, deben buscarse referencias en REGEDIT , luego de tener eso, en los output,(writefile.readfile, outputdebugstringA/W)
luego de conocer el proceso, ya seria el proceso inverso, analizar y ver en que instancias se mantienen y cuales pueden variar


(el team Revenge CREW) una vez analizo una extension .seu  y creo un convertidor de .seu a .txt, a primera vista era semi imposible, pero fue posible

asi espero que sea con cryptool, sea con filemon regmon o lo que sea, espero que con el tiempo logren pillar informacion relevante


saludos Apuromafo

si uso PID:
[!] Laserlok (Build 31.10.07) protected !
si busco la referencia de un tutorial este te deberia servir:

http://forumcrack.com/web/Dynasty/Tutorial%2030%20-%20Laserlock%20SPEEnc%202.0%20(Unpacking)/Laserlock_SPEEnc/Laserlock_SPEEnc_en.html


a primera vista confirmo
004000D7  50 61 63 6B 65 64 20 62 79 20 53 50 45 45 6E 63  Packed by SPEEnc
004000E7  20 56 32 20 41 73 74 65 72 69 6F 73 20 50 61 72   V2 Asterios Par
004000F7  6C 61 6D 65 6E 74 61 73 2E 50 45 00 00 4C 01 08  lamentas.PE..L

00400107  00 19 5E 42 2A                                   .^B*

es mas la string en el entrypoint dice
0040114E  2D 3D 5C 65 2D 6D 61 69 6C 3A 73 74 65 76 65 40  -=\e-mail:steve@
0040115E  6C 61 73 65 72 6C 6F 63 6B 2E 63 6F 6D 7C 49 43  laserlock.com|IC
0040116E  51 3A 32 31 39 33 39 36 30 38                    Q:21939608

bueno sigamos:



PUSH EAX
   CALL 00401196
   POP EAX
   POP EAX
   PUSH EAX
   PUSH EBP
   PUSH EAX
   CALL 004011E3
   POP EAX
   POP EAX
   CALL 004011FC
   POP EBP
   PUSH EAX
   CALL 00401218
   POP EAX
   POP EAX
   PUSH EAX
   MOV EAX,EBP
   SUB EAX,1FC
   SUB EAX,DWORD PTR DS:[EBP-1BE]
   MOV DWORD PTR DS:[EBP-1BE],EAX
   SUB EBP,63A71FC
   PUSHAD
   LEA EAX,DWORD PTR SS:[EBP+63A7359]
   PUSH EAX
   CALL 004012A2
   POP EAX
   POP EAX
   PUSH EAX
   LEA EBX,DWORD PTR SS:[EBP+63A8CAE]
   SUB EBX,EAX
   PUSH EBX
   PUSH EAX
   CALL 004012DB
   POP EAX
   POP EAX
   PUSH DWORD PTR DS:[EBP+63A7042]
   PUSH 93721222
   PUSH EAX
   CALL 00401332
   POP EAX
   POP EAX
   CALL 00402CAE



luego ese ultimo call va a

00402CAE    C8 000000       ENTER 0,0
00402CB2    60              PUSHAD
00402CB3    8B75 14         MOV ESI,DWORD PTR SS:[EBP+14]
00402CB6    8BFE            MOV EDI,ESI
00402CB8    8B4D 10         MOV ECX,DWORD PTR SS:[EBP+10]
00402CBB    83F9 00         CMP ECX,0
00402CBE    74 27           JE SHORT 00402CE7                        ; 00402CE7
00402CC0    8B5D 08         MOV EBX,DWORD PTR SS:[EBP+8]
00402CC3    33D2            XOR EDX,EDX
00402CC5    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
00402CC8    F7E3            MUL EBX
00402CCA    33D0            XOR EDX,EAX
00402CCC    33D3            XOR EDX,EBX
00402CCE    AC              LODS BYTE PTR DS:[ESI]
00402CCF    C1C2 10         ROL EDX,10
00402CD2    02C6            ADD AL,DH
00402CD4    32C2            XOR AL,DL
00402CD6    C1EA 10         SHR EDX,10
00402CD9    2AC6            SUB AL,DH
00402CDB    32C2            XOR AL,DL
00402CDD    AA              STOS BYTE PTR ES:[EDI]
00402CDE    43              INC EBX
00402CDF    83F9 01         CMP ECX,1
00402CE2    74 03           JE SHORT 00402CE7                        ; 00402CE7
00402CE4    49              DEC ECX
00402CE5  ^ EB DC           JMP SHORT 00402CC3                       ; 00402CC3
00402CE7    61              POPAD
00402CE8    C9              LEAVE
00402CE9    C2 1000         RETN 10

una mini rutina pushad-popad, pero parece acprotect,

si no hay cd:
0090C4C4   /0F84 57010000   JE 0090C621


0090C621    3E:FF95 728D3A0>CALL NEAR DWORD PTR DS:[EBP+63A8D72]     ; kernel32.ExitProcess


el tema es pillarlo al oep con el juego y luego dumpear y reparar..

eso es porque despues de haber cargado sus apis carga una dll
10001000   .  5C 3D 2D 53 5>ASCII "\=-SPeEnc loader"
10001010   .  20 72 75 74 6>ASCII " rutine d02-07-0"
10001020   .  31 72 20 62 7>ASCII "1r by Asterios P"
10001030   .  61 72 6C 61 6>ASCII "arlamentas\=-",0
1000103E      00000010      DD DPML3522.10000000


tambien se ven algunas cosas cripto como
00A92907    AC              LODS BYTE PTR DS:[ESI]
00A92908    C1C2 10         ROL EDX,10
00A9290B    02C6            ADD AL,DH
00A9290D    32C2            XOR AL,DL
00A9290F    C1EA 10         SHR EDX,10
00A92912    2AC6            SUB AL,DH
00A92914    32C2            XOR AL,DL
00A92916    AA              STOS BYTE PTR ES:[EDI]
00A92917    43              INC EBX
00A92918    83F9 01         CMP ECX,1
00A9291B    74 03           JE SHORT 00A92920
00A9291D    49              DEC ECX
00A9291E  ^ EB DC           JMP SHORT 00A928FC
00A92920    61              POPAD
00A92921    C9              LEAVE
00A92922    C2 1000         RETN 10


(para poder ver la dll debes colocar bp en VirtualAlloc)

ahora intento ver en como el 5to retorno de virtual alloc (desde la dll el juego de los true y false


10002A4D    50              PUSH EAX
10002A4E    8B55 E4         MOV EDX,DWORD PTR SS:[EBP-1C]
10002A51    33C0            XOR EAX,EAX
10002A53    83BA D8060000 0>CMP DWORD PTR DS:[EDX+6D8],0
10002A5A    0F95C0          SETNE AL
10002A5D    50              PUSH EAX
10002A5E    68 E8E80410     PUSH 1004E8E8
10002A63    E8 37EBFFFF     CALL 1000159F                            ; 1000159F
10002A68    83C4 04         ADD ESP,4


y ahora muestra abajo

0012F86C   003F4EB8  ASCII "
V%s
%s Ver.%d.%d, build:%d, %s
"
0012F870   003F46B0  ASCII "7,5,82 Marathon HSv1 [Build 03-02-2005]"
0012F874   0012F8C0  ASCII "WIN_XP"


en teoria el ultimo lugar luego de descifrar todo deberia ser algo similar a esto

0090DC76    83F9 01         CMP ECX,1
0090DC79    74 03           JE SHORT 0090DC7E
0090DC7B    49              DEC ECX
0090DC7C  ^ EB DC           JMP SHORT 0090DC5A
0090DC7E    61              POPAD
0090DC7F    C9              LEAVE

(yo llego solo hasta 00906B3C    E8 65700000     CALL 0090DBA6
)

espero algo te sirva como idea..

si no puedes, a buscar por otra forma en google:
http://es.answers.yahoo.com/question/index?qid=20080410071107AA0CW8P

yo busque una version NOCD y al parecer esta unpacked, te lo adjunto en caso x como referencia:

http://www.mediafire.com/?1q8j59fnrqjtpkn

saludos Apuromafo

interesante ^^
desempacar un upx , detectar 2 apis y detenerse en la api URLDownloadToFile()
^^ gracias por el enlace karmany
no me suena para nada el nick Yago

de acuerdo, lo tendre en cuenta y  tomare en cuenta que perdurara entonces tengo que saber como lo veran dentro de x tiempo jeje

oki, ahi ves ^^
igual fusiona los 2 en uno e intenta revisar que los enlaces esten online lo demás ya es pasarselo a ricardo y luego que el lo muestre

en teoria deberia depurarse con IDA, en practica solo tengo ollydbg en el pc y algo para dumpear..ugu, espero alguien se anime...

vale no te incluyo!!!! jeje que presento los dos??

oki, si es una presentacion o narraciòn de como vas viendo, pero imagina que este escrito terminara estando en internet por años, medita en eso antes de publicarlo...

posiblemente se pueda, pero todo indica que es demo
por lo otro existen alternativas:
http://foro.elhacker.net/empty-t355513.0.html

saludos Apuromafo

oki, recibido, te lo respondo con mas info, esperando que logres editarlo de aqui a una semana ^^
presentalo en cls, puede ser util como presentación
pero no me incluyas
a lo mas que te facilite un poco de enlaces webs privadas, a lo mas...

oki, ves, no es necesario comentar mucho
^^