Mensajes

yo trabajo de cajero, he detectado billetes falsos, normalmente cuando son detectados dicen que todo son tecnicas de material agua, y herramientas practicas con mucha lupa, ejemplo la imagen de marca de agua, hecha con grafito, el holograma como edicion de los materiales de algunas reglas o lupas y asi otros detalles, el del holograma cruzan otros materiales con scotch trasparente, y ante el efecto de la ultravioleta, funciona similar, a diferencia de  las tonalidades, todo lo demas es identico..marcas, mirarlo desde al ojo y asi, insisto las herramientas de luz fosforecente, deben usarse para detectar lo falso


por lo demas si es por tema de si es posible, lo es, si es por tema de nag ya sabes, normalmente se elimina el dialogo , el origen de la string  no es dificil

ahora viendo el tema de dongle, hay un post completo, de emulacion o de clonar,  y que lo mas importante es la implementacion de los servicios, no hay tutoriales de como hacerlo por uno mismo sin tools, nunca he visto eso, por lo demas
siempre trabaja como a un nivel medio o alto, aveces sin saber de cracking o ingenieria inversa en si ,

el autor del dominio de apuromafo.com.ar (mi pagina), una vez le requizaron todo el material de dongle, y claramente era posible

si necesitas servicios de pagos de emulaciones existen, pero no estoy interesado ni he mirado mas al detalle


igual ricardo comenta del tema, Cid, y otros del tema

no vi ningun aprendizaje en el post, y como objetivo fue mal planteado

saludos Apuromafo

si revisas los escritos de programads de ricardo narvaja, lo complementas con las teorias numeradas tendras como matar estas dudas
pero en general en delphi existen formularios y clases, estructuras rti y otros, en forma simple puedes usar varias herramientas y comparar

1) PE explorer  de heaventools ( el depurador de este es bien bueno para confirmar los string y otros)http://heaventools.com/
uno full para testing seria:
http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/L-M-N-O-P/PE.Explorer_196%20%2BBRD%20fix_%20.raro
obs:debes renombrarlo a .rar

por ejemplo algun recuerdo::
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1335-Tubedownload%20by%20Apuromafo.rar


2) dede , desde la pestaña debes colocar como la imagen que comenta, en los tutoriales, yo bien te sugiero otra forma

vas en la pestaña de export, para IDA y otro y luego con otro plugin como

o bien
algun recuerdo:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1173-antiolly%20parte%201%20de%204%20Apuromafo.7z
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1174-antiolly%20parte%202%20de%204%20Apuromafo.7z
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1175-antiolly%20parte%203%20de%204%20Apuromafo.7z
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1176-antiolly%20parte%204%20de%204%20Apuromafo.7z


3) IDA, abrir analizar, colocar el flirt segun la version del delphi y luego exportar el map y importar desde godup:
http://www.woodmann.com/collaborative/tools/index.php/GoDup
-> para mas plugins puedes ver en:

http://www.woodmann.com/collaborative/tools/index.php/Category:OllyDbg_Extensions



4) Delphi restorator  desde IDR
te sugiero uses este antes del dede
http://kpnc.org/idr32/en/

notese que pilla el lenguaje y es practico de uso:
yo lo confirme solo para confirmar si habia estructurado mejor el dephi.:

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1318-Canu_feb_2011por%20Apuromafo.pdf

ahora bien hay muchas cosas importantes como:
los eventos:

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/896-Punto%20E%28ventos%29%20en%20ejecutables%20Delphi%20-%20por%20marciano.rar

puntos magicos:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/243-Punto%20magico%20en%20Delphi%20por%20ARAPUMK.zip
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/258-Punto%20magico%20en%20Delphi_II.zip

activacion de botones:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/821-Activando%20botones%20en%20Delphi%206%20por%20karmany.rar

eliminar nags:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/301-400/369-Mi%20tiempo%20es%20oro%20por%20Morales.rar
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/838-COMO_ELIMINAR_NAGS_EN_PROGRAMAS_DELPHI.rar


tambien puedes complementar con plugins o bien revisar el form como bien en el primer ejemplo de antiolly, algun programa comercial o otro:

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1019-Crackeo%20en%20Delphi%20Elegante%2C%20COn%20Estilo.rar

ojo es posible espiar las form o las parent, y de paso en otros lenguajes usarlo como por referencia es :
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1353-Troyan%20Hunter%205x.%20Apuromafo.pdf.7z



tambien tienes herramientas utiles para todos los eventos y scanear el origen desde:
http://guandedio.no-ip.org/herramientas/descarga/54-event-2-address-e2a.html

E2A event 2 adress, de guan de Dio

tambien hay un decompilador para delphi pero no es completo, es trial demo de un foro ruso, pero bueno.. historias

insisto solo te falta seguir leyendo, nada mas
Apuromafo

pero y las formulas utilizadas????

No se pueden ver ?

puedes ver lo mismo que el codigo de fuente visible, en el resultado final

pero claramente pedias los xml, no las macros, y formulas tampoco

si es por mirar cada celta claramente son visibles sus formulas y usos por cada celta (notese la clave fue colocada y tambien enviado 2 tipos de desprotegidos)

son como macros pero de programacion como en si depurando claramente se puede ver algunas cosas importantes, pero insisto, recuperar la macro original no sale nada concreto, pues el recurso de la macro por el protector, esta mal estructurado, y de paso activa el active x, para las opciones de importacion, no se si sera eso importante, pero haciendolo solo accedible como acceso directo no como  codigo de fuente visible para .el editor de visual basic


creo que la desproteccion de la hoja se puede hacer y mirar el codigo de la pagina (notese que cuando revisas en los ejemplos compartidos por mi, claramente puedes desplazar la pagina, cosa que no era posible en la otra)

bueno, todo lo que logre esta ahi, si le sirve bien, si nop, aun no veo tu planteamiento de que has LOGRADO, pues algo debes haber intentado... algo, no se colocar un excel normal, protegerlo y comparar

yo hasta el momento he podido como excel exe, sacar el xls, es un merito para anular la random dll, que coloca en temporales, mejorando lo que hacia antes en algun demo para que dure solamente mas dias...


no veo limitacion de tiempo ni de funcionalidad, asi que el objetivo de uso esta posible de hacer.

Una consulta, en mi programa pienso comparar el serial del disco duro o usb. Pienso poner el serial previamente obtenido en una variable y comparar en tiempo de ejecución 2 ó 3 veces.

compilo en P-code.
Este método que tan dificil de crackear es? y si tendrían algunas sugerencias para hacerlo más dificil de crackear.

saludos.

creo que idealmente deberia ser un toppic aparte, pero pcode es una forma antigua de codificar, muchos por el año 2003 y 2004, protegieron cosas asi y terminaron crackeadas

a lo mas habia un packer para pcode que alguien cre , pero haciendo aleatorio ciertos bytes con ciertas dudas que rompiera el codigo


pero en general, lo mejor es siempre confiar a no pasar el codigo de fuente a otro


por lo demas el tute de Under , encuentro que esta bien, ya si sigues como serie, en algun dia te enviare un crackme que alguna vez resolvi en pcode, pero que esta lleno de antidebug y anti tool, y no es reconocido por casi ningun p-code como exec ni el otro que es de pcode, solo vtk...lo reconoce..y olly claramente se ve todo..

saludos Apuromafo

1) sin el codigo de fuente a lo mas se puede un pseudocodigo, los cursos de ricardo narvaja sobre coders en c+,  comenta de restaurar con IDA, mas  hexray

pero en si nadie te va a devolver un codigo de fuente

veamos apartemos los packers, que hay muchos
*fox-> trabaja como recursos, dialogos y mas que se guardan en el archivo, pero muchos usan tools que le permiten acceder a un codigo casi igual para recompilar puede recuperarse el codigo ya compilado, no el origen de ese codigo

*delphi->pues trabaja por forms, dialogos cajas y mas, dede, y muchas otras tools encuentran los nicios de los procedimientos para los drm y otros, pero insisto aun asi no es posible muchas veces re codificar lo codificado por los skin y complementos a delphi, pueden ser recuperado las imagenes o form dependiendo de sus opciones

*mindw o c++,vc++ o otros, puede ser decompilado, conociendo los loops variables y otras pero requiere experiencia media o alta de cracking, normalmente son como puzles dentros.

*visual basic nativo o pcode, puede usarse el decompilador, pero nunca es tan igual al original, los forms pueden ser recuperados y las imagenes iguales

, en general de las aplicaciones no conozco que se pueda obtener ese decompilador

a excepcion de cosas como flash, programas en .net, y programas que te comparten el codigo de fuente o otro... son posible hacer algo mas


decompiladores para visual basic, para .net, para visual basic, para c++ (rec). para JAVA, y otros..

[JMP SHORT]

gracias efectivamente es para un inline patch necesitaba disminuir espacio pero nada mejor que mover un JMP SHORT y desde la nueva dirección trabajar sin problemas con el espacio suficiente.


Saludos

si es asi entonces puedes usar facilmente el multimate assembler, luego con topo o sectino adder, o alguna nueva sección puedes moverte facilmente en caso x,
solo requiere algunos calculos extras en caso x

genial, saludos Apuromafo

no se si sera mas breve, pero si en puro mov seria algo asi:
como los antiguos inline:

mov prt dword direcciondestino,primeros4dword_origen //
mov prt dword direcciondestino+4,siguientes4dword_origen
mov prt byte direcciondestino+4+4,siguentebyte_origen

no tengo olly a mano, pero deberia trabajar asi en forma similar a lo ya comentado
porque no recuerdo que trabajen en todos los formatos con QWORD

si es por script, bastaria un mov con los bytes en ## , o bien usar el comando fill antes para nopear el lugar

saludos Apuromafo

http://msdn.microsoft.com/en-us/library/xbebcx7d.aspx
example:
http://www.cplusplus.com/reference/clibrary/cstdlib/realloc/
otra api similar:
http://en.wikipedia.org/wiki/Malloc

pff hay muchas opciones

no quiero ser matapasiones, pero no servira youtube?

aver.ideas .coloca el codedoctor y multimate assembler como plugins


idea para los xor puedes usar el codedoctor
para los jmp lugar puedes con Multimate cambiar por lo menos el parametro en vez de 17xxx a otra 15xxx o la que quieras... para los otros stolen , pareciera ser poco..
y con notepad o block de notas reemplazas desde el texto de multimate

psi, existe un unpacker para acprotect y un tute para ese packed


adjunto tal cosa en
http://www.mediafire.com/?bahqb8plxeiuo8n

saludos Apuromafo
pd:estare inactivo en la semana, por eso comento del unpacker, tengo varias evaluaciones..saludos