Mensajes

004BA05D    BE 00004900     MOV ESI,Copia_de.00490000
004BA062    B9 FFA70000     MOV ECX,0A7FF

versus lo primero que dijiste MOV EDI,150000

como sabes que tienes acceso a 150000?
le diste permiso de escritura?


intenta otra cosa menos densa, aparte de copiar, busca donde realmente esta el programa
490000  ahi esta o esta en 40000+490000 ?

cual es el programa? sera el famoso unpackme de pelock? del cual he comentado varias veces que aveces da lios los injertos y es mejor reparar todo el codesplicit?

saludos Apuromafo

ilto o ulto no recuerdo como se llama la variable, tambien se podia usar buff y otras como eval, asi vas verificando, hay ejemplos aveces de convertir en Octal, decimal y hexadecimal

saludos Apuromafo

[RESULTADO FINAL]

pensemos de otra forma ,como el autor, el programa crea una dll en temporal le pasa un parametro que es la macro a ejecutar y luego lo usa excel, sii, teniendo acceso a la macro, deberiamos tener la idea

yo ya he vencido algunas veces a algun done ex xcell , y la dll tiene la informacion de l alicencia del autor de su programa, obviamente cifrado


en este caso no es simplemente sacar el excel y obtener o nullear la clave
esta cifrado con   nonstandard CSP  del cual solo francia o bien algunas versiones de   Microsoft Office XP / 2003 pueden hacerlo

vere que tanto puedo ayudarte a desproteger ese programa..p



un password para desbloquear la hoja es:"AAAABAABBBA&"
*en progreso mirando un poco como copiar  la hoja
=Flugbahn!$K$9

copiado:
http://www.mediafire.com/?ezuol44p7bq627c


me acabo de dar cuenta cuando colocas guardar se coloca un dialogo como .exe, ahi edite y atache el proceso, luego... mate la dll!!! luego aparece la ventana de excel real como si nada

pero el tema de xml no entiendo de eso..no creo que excel sea solo un xml ,

sigamos, tiene una clave de apertura, se la quite, dice algunos errores, y cosas raras

intente crear un certificado pedro, y no se si por defecto lo coloco..pero en fin..

RESULTADO FINAL

espero te sirva esto:
http://www.mediafire.com/?e13upyt65mpdd9e




saludos Apuromafo

[Priv]

en palabras entendibles
heap= un espacio en la memoria RAM, no en alguna parte del programa, dumpearas y esa parte estara o no segun el permiso que se le hizo, para eso verifica HeapAlloc, y otras asi, segun el permiso de la sección

ahora bien como heap en si es como una parte del s.o o una capa
http://msdn.microsoft.com/en-us/library/ms810603.aspx

pero en palabras criticas de lo que se hizo en el heap, es un espacio reservado  que tiene un permiso especial para la aplicacion que le llamo, en este caso se ve
que se puede usar una u otra api para que sea accedible:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa366794%28v=vs.85%29.aspx

luego vemos

arriba ves:Address    Size
00150000   00006000  
osea
arriba ves:
Address  00150000 hex
Size  00006000  hex

luego ves que dice    Priv , esta sección es privada de acceso, puedes usar un dumpeador por sección especializado como pupe, o otras aplicaciones.
muchos hablan aveces de las PAGES pero volviendo a tus preguntas eso es una constante ahi veras tu cual usar:
parametros y constantes de memoria
http://msdn.microsoft.com/en-us/library/windows/desktop/aa366786%28v=vs.85%29.aspx

api virtual alloc
http://msdn.microsoft.com/en-us/library/windows/desktop/aa366887%28v=vs.85%29.aspx

ahora bien volviendo, porque en el injerto usaron virtual alloc y no otra?
como bien veias en el espacio:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa366794%28v=vs.85%29.aspx

cuando usas virtual alloc, intentas que la direccion sea esa tenga cierta informacion...en este caso de la sección que tenemos que este en ese lugar


pero que pasaria si fallara?, es mejor que resuelvas la redireccion, yo eso hice en pelock y le puse como tute, porque realmente es complejo explicar algo desde ring3, que proviene desde ring0,

una vez nahuel o ncr, hizo algo imposible con un driver, reservar memoria en el espacio cero, osea el comienzo de la memoria, obviamente con ring 0


pero bueno, independiente de los rootkit, hook y temas de permisos y secciones, lo importante es saber que parametros puede retornar,

saludos Apuromafo

[bp AUX]

bien hecho, aunque a mi me queda la duda si realmente siempre se almacenara igual
mov AUX,esp
add AUX,4
mov AUX,[AUX]
add AUX,0b8
mov AUX,[AUX]
bp AUX

cuando haya un borrado de context...

IDA deberia funcionar, si sabes elegir el modo
pero el programa que tienes no es un exe normal, es un .net y necesitas saber que ademas esta ofuscado
este seria el primer paso: aprender a leer codigo IL (intermedio)
saludos Apuromafo
pd: el scan de PID


Scanning -> C:\Documents and Settings\usuario\Mis documentos\Descargas\Copia de programa.exe
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 2774016 (02A5400h) Byte(s)
[File Heuristics] -> Flag : 00000000000001001101000000110001 (0x0004D031)
[!] {smartassembly} DotNet Obfuscator detected !
[CompilerDetect] -> .NET
[.] .Net Info -> v 2.5 | Flags : 0x00000009 -> COMIMAGE_FLAGS_ILONLY | COMIMAGE_FLAGS_STRONGNAMESIGNED |
[.] Entrypoint (Token) : 0x06000680
[.] MetaData RVA : 0x00289DB4 | Size : 0x0001DC10 (121872)
[.] MetaData->Version 1.1 -> v4.0.30319
[.] Flags : 0x0 | Streams : 0x6 (6)
- Scan Took : 0.500 Second(s) [0000001F4h tick(s)]

mas de mil trescientos tutoriales de solo como comentar de cracking,
luego mas de 56 tutoriales para comenzar desde cero, que mas quieres?
si quieres clonar dinero,  es un tema mas denso que simplemente una imagen,
ademas si vi que es facil crackear el serial, cuanto mas quitar un mensaje o nag?,

cuando sepas plantear un tema que no sea PETICION DE crack, te apoyare , asi sin mas, no has aprendido nada, ni has buscado nada

yo a under le envie alguna informacion que tenia a mano de lo que comentaba porque algo se habia animado ,
pero igual insisto, para que necesitas un crack de algo que te puede llevar a la carcel?
no uso photoshop y los productos adobe se actualiza y re actualiza y asi.. no quiero llenar el pc de algo que no usare.

codigo assembler yo creo... pero en scritp, xor eax ,eax cambiarlo a xor r32,r32 y asi..

pues complementarlo con eval, y el result, gref, gopi y otros...

pero el tema no es tanto el comando, sino los opcodes que puedan tener..

dis te puede ayudar a encontrar el lugar , pero otras tools pueden fishear o encontrar como funciona esa parte, .net es un tema complejo, intenta revisar los escritos de Indulgeo en cracklatinos  y otros de .net , seguro encontraras el programa indicado para lo que buscas.

pd:hay reflector, reflexil, hay mxas otras somo SAE(simple assembler explorer) que te pueden ayudar ahora con lo que sigue, hasta calimero existe...