Mensajes

pensemos que tenemos el upx, comienza algo asi

1) pushad
2) descompresion de apis
3)popad
4) salto al oep
5) en el oep!!!!!


ahora bien, desempacado, pero esta aun 1-4, debes nulificar ese sector, que en si no sera usado, luego al tomar el upx y empacarlo denuevo al oep, deberia ir denuevo al mismo entrypoint anterior, al encontrar que ya tiene Pushad, posiblemente desalinea mal o bien detecta que las apis estan ok, por lo cual no verifica las secciones ni overlay, secciones icono ni nada

por ende Como hacerlo mas rapido?
1) desempacar rapido con Pe Xplorer de heaventools
2) nulificar la sección donde antes estaba
3) volver a empacar, luego de REPARADA LA IAT
empacar y cardar la IAT denuevo.

saludos Apuromafo

[md5]

puff, otro crackme que le da de colocar md5 pensando que uno tiene una super raibow o algun bruteforce magico:

lo unico que puedo decir es que la implementacion parece mas como vbBinaryCompare que strcmp, pero igual:


los datos a hashear o hacer el bruteforce es: como pedias usuario y pass

usuario md5->723b83ff7548320b21bf1cc8024ddb4a
pass md5->c55160ccd66021e4e3ae5ff881a8302c

teniendo el md5 correcto , cambia las imagenes y los datos
psi:  PUSH 4096D8       y PUSH 409720     
tiene almacenado los hash correctos, confirme modificandolo por semilla name a y b y es correcto, saludos Apuromafo


     

jiji, naa  , no te preocupes, ademas no podria hacer mas que un tour a lo mas, pero por aca no hay tantas cosas interesantes,  por lo demas hoy estuve trabajando de sol a sol, y gane un premio inclusive por cumplir bien la atencion al cliente, en el trabajo part time

saludos Apuromafo

con winlicence te caeras desde el cielo a la tierra, primero debes saber desempacar de todo , luego enfrentas cosas con maquinas virtuales, emulaciones, antihook, antidump, scramle iat, y destruccion de codigo y emulacion

a lo mas te sugiero los tips de todos los escritos de winlicence, pero no estoy conforme aun que alguien haya desempacado winlicence asi sin mas, sin necesitar de muchas tools con años de experiencia de cracking

te sugiero tomarlo seriamente y ir de a poco, nadie te pide que mates a un goliat, sin ningun tipo de conocimiento.

a leer se ha dicho y revisate bien todas las chinchetas con sus enlaces involucrados, si los terminas de encontrar todos, tendras a lo menos un 50% de avance.. si usas el buscador del foro, terminaras con un 70, con el buscador de ricardo, terminaras en un 80%, pero el 100% depende de ti...

no estoy activo en el tema de cracking, pero claramente te puedo aconsejar, que no tomes a mal desempacar, sin saber de lo otro ( upack, nspck, petite, pelock, themida, y otros packers)

saludos Apuromafo

[wrt]

cuando escribes desde wrt, luego anexas con wrta, tomas desde inc o bien desde asmtxt entre otras

no ando con ningun ejemplo a mano, pero deberia servirte el ejemplo explicado en algun escrito mio * el de busqueda multiple ..revisa como funciona y tendras como hacerlo.

xD desde que comentas de vmprotect ya mataste el apoyo, es que igual pensemos que vas bien llegaste al oep

ahora a reparar la iat, ta toda ok pensemos en un mundo ideal donde 3 o 4 calculos hardcoded no son tanto

pero que pasa con lo ofuscado o virtualizado?, que pasa si hay hook de dll adicionales, que pasa si tiene stolen de recursos?

el otro dia me anime a ver todo lo de vmprotect y creeme, no hay nada concreto que apoye de la version 2.9 en adelante , lo anterior es siempre igual asi que animo y ganas, porque debes primero investigar que tipo de link tiene el exe para saber en como fue compilado nativamente y si tienes stolen oep o no, revisar que si corre unpacked, es porque ta todo ok..

te falta probar primero en todos los otros tipos de packed en diferentes imagebase  y vmprotec diria que es de los ultimos packers a ver, la cantidad de historias son brutales, no son para newbies ni recien iniciados en el tema, ya deben saber depurar aplicaciones desconocidas y reparar todo lo que no corra..

ideas adicionales
1) dumpear en 2 imagebase en diferente y reparar con relox
revisar que tipo de origen es y restaurar el oep en base a stack

revisar la iat, a modo de restaurarla por calculo y no por iat normal

verificar que no haya ningun antidump que estropee nada.. el lio son las detecciones cuando intentas reparar mas...

uff del 2008!..bueno algo se recuerda

para fishear un serial en .net en olly solo se puede sabiendo .net

te muestro algun ejemplo:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/694-SQYNETCrackme_enOlly_dapaf.rar
te sugiero este escrito:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/676-Un_.NET_con_OLLY_by_dapaf.rar


yo mas bien te sugiero seguir leyendo de ricardonarvaja no por el tema de tecnica, sino porque lo ideal es que aprendas el codigo intermedio, y depurar el .net con herramientas destinado a ello

revisa por este foro todos los comentarios que apuntan a .net , sacaras muchas ideas y practicas

saludos Apuromafo
pd:no soy experto en .net , por lo mismo solo puedo orientarte de lo que se que se puede hacer, pero es posible inclusive recodificarse completo el exe hechos en .net ya sabiendo hacer lsa cosas...

felicidades, cuando llegues al tutorial 4o 5 me avisas para enviarte el crackme que tengo

vas super bien

si es por usar olly en x64 a lo mas debes usar olly 1.1 con una mini modificacion de un plugin llamado "ollyadvanced" el cual debes marcar un tilde de x64

yo bien te sugiero que aunque sea beta o en proceso y todo eso, uses ollydbg2
y te guies en los tutoriales a modo que aprendas a usarlo

el command bar puede servir para calcular , pero tb lo puede hacer la calculadora

el original esta en:
ollydbg.de

y puedes complementar con esto:
http://foro.elhacker.net/ingenieria_inversa/problema_con_cmdbarsolucionado-t341496.0.html