Mensajes

en la pestaña de debugging normalmente uno busca en el bloque seleccionado o en la memoria otras formas serian como scripting o como run trace



la otra..referencias en iat.. igual parece raro lo que quieres hacer..bastaria que busques algun 7XXXXXXX en la memoria.. luego el jmp dword y variantes

o la otra ir a la api y colocar bp en ejecucion.

el ctrl R funciona solo cuando tu has ANALIZADO la sección, si no esta analizada el area y tiene ints/excepciones y otros, lo mas probable es que no se actualize...


pd: hay upx con overlay, con checks, upx que no son upx y son fakes como execryptor o Ep protector..pero

lo importante es ver que apis puede usar..

saludos Apuromafo

si no mal recuerdo la version cs4, en cuanto a la proteccion base de los dias fue saltando algunos saltos y nopeando ciertos lugares

no creo que difiera mucho el tema de reconocimiento..muestra un mensaje que podria ser escaneado por algun form o algun call

no tengo tiempo para bajar el photoshop..pero deberia ser posible...

saludos Apuromafo

o sera mejor usar una maquina virtual y luego ahi ejecutar el programa

otro programa similar es sandbox...pero ya desinstalar crea lios..

que no sepa que un programa fue instalado..

ideas:
1) analizar que tipo de proteccion tiene (armadillo, asprotect, softwrap etc)
y en que lenguaje fue programado
buscar vias posibles..nombres en regedit, archivos en system32, usar maquinas virtuales, cajas de arena como sandbox


2) desempacar si corresponde
3) buscar las llamadas en regedit, o las posibles comparaciones que puede hacer el programa, de no tener idea de nada usar un monitor de apis como KAM de http://www.kakeeware.com/

4) proceder a aprender mas de la ingenieria inversa
por ejemplo supongo ya como lectura obligatoriamente voluntaria los escritos de ricardo que estan con chincheta comentados y archi comentados

proceder a compartir mas informacion

por ejemplo algunos programas caen en tu categoria..crackear comprobaciones y detecciones antidebug y otros
revisa de los ultimos escritos

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/



5) compartir comentarios,nadie nace sabiendo...


saludos Apuromafo

[23 May 2011 - MUltimate Assembler 1.4]

23 May 2011 - MUltimate Assembler 1.4

MUltimate Assembler 1.4 es un excelente plugin para OllyDBG que te permite ensamblar código en varias lineas. Esto es muy útil sobre todo cuando realizas injertos ya que si lo haces sólo con OllyDBG y te equivocas tienes que modificar todo otra vez.
Un plugin recomendado para aquella gente que le guste programar directamente con OllyDBG.
http://tuts4you.com/download.php?view.2805
http://rammichael.com/multimate-assembler

09 August 2011 - Visual DuxDebugger 2.9

depurador para x64 con varias caracteristicas


pd:05/08/2011 - Visual DuxDebugger 2.8 implements "Event Filters"
pd:Visual DuxDebugger 2.9 ->09 August 2011 free 2.9

download:

Main features
Fully support 64-bit native processes
Fully support 64-bit .NET processes
Full code analysis
Full memory analysis
Code edition
Memory edition
Module export formats (EXE/DLL/CSV)
Debug multiple processes
Debug multiple child processes

Minimum Requirements
O.S:          Windows 7 64-bit / Windows Server 2008 R2
Processor:    Pentium 4 3.0 GHz
RAM:          2 GB
Display:      1280 x 1024


http://www.duxcore.com/fs_files/VisualDuxDbgSetup.zip
[url=http://www.duxcore.com

no te presiones tanto, tan solo intenta hacer cuanto puedas

saludos Apuromafo

sera ideal hablar de aplicaciones hechas con neobook? (proteccion de armadillo')
un programa comercial que permite hacer cosas como esta'

te felicito por las ideas..pero espero no se enojen los autores de neobook por usar ese icono..

saludos Apuromafo

pd:normalmente usan createfileA, trabajan con script y luego es revisar los form..no se si sera necesario hacer tutorial , si el de _Enko  esta clarisimo.

ademas como dato curioso, usa overlay, por eso no es tan facil desempacar asi sin mas..luego el recurso llama de forma extraña y compara algunos CRC
, si no..pues dira que esta dañado..

no veo avances desde ollydbg..quizas no estas depurando y solo estas pensando como se hace...

el tema del reversing aveces va en depurar esas rutinas e intentar..

aveces si no se logra por una parte , se pilla por otra..

animo..
pd:los teams normalmente reclutan crackers para hacerlo y compartirlo en forma privada entre ellos mismos, aveces cuando tienen tiempo liberan al publico como nosotros..y aveces nos enteramos que ya cayo..

el tema de keygenning es siempre complejo..creeme..

intenta de aqui:

http://www.megaupload.com/?d=2YELN4DS

pd:yo tambien use google.cl puse buscar..descarga, luego busque por taringa y luego ahi..

saludos Apuromafo

aparience-> highlight jumps and calls, luego los comentarios

si aprendes a usar  el plugin de olly para script pues puedes crear archivos, labels, comentarios y otros.

te sugiero veas los scripts de unpacking
cmt lugar,"comentario"

una vez comente un poco, de un proyecto casi olvidado (ultimamente solo codifico para ciertas apps y listo)

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1201-1300/1235-proyecto%20odbgscript%2Cpara%20multiple%20busqueda%20by%20Apuromafo.7z

en cuanto a IDA export labels, y hay plugins de autores para importar esos comentarios..asi evitas cosas obvias como los forms y otras estructuras..

saludos Apuromafo

es un programa creado por daniel pistelli, muy bueno si lo aprendes a usar
http://www.ntcore.com/exsuite.php

el tema delicado esta en lo que sigue, se pueden hacer loaders o patchers en formato LUA

responde bastante bien, creo que el autor creo un packer para .net, luego un plugin para IDA; y ya trabaja en IDA/hexray por ahi..

pd: una cosa es saber codificar , pero programar, codificar, crear sdk, y ademas saber cracking, es para aprender mas de la persona...