Crackeando Wondershare Time Freeze
Nombre:Wondershare Time Freeze
Página web:www.wondershare.com
Descarga:http://www.wondershare.com/pro/time-freeze.html
Versión:2.0.3
Autor del tutorial:UND3R
I-Inspeccionando el programa:
Una vez instalado el programa, iniciamos el programa y veremos lo siguiente:
Si introducimos un mail y una contraseña, nos aparecerá el siguiente mensaje:
*En mi caso e-mail: UND3R@CRACK.COM Registration code: TUTORIAL
II-Usando OllyDBG:
Cargamos el programa OllyDBG y veremos el siguiente Entry Point
Si buscamos referencias de textos y buscamos REGISTERED nos encontraremos con lo siguiente:
Hacemos doble clic al texto encontrado:
Si subimos un poco encontraremos una serie de JMP'S SHORT pero ninguno interesante, hasta que encontraremos el siguiente salto que podría ser la bifurcación entre un serial válido y uno No válido:
Intentemos llenar con NOP (Not Operand):
Lo más probable es que sea el punto de bifurcación correcto, pero intentemos ver que realiza el programa para registrarlo. Colocamos un BP a continuación:
Entremos a la call 00426C3A:
Veremos la siguiente API GetSystemDirectoryW, esta API se encarga de devolver en el búfer la ruta de SYSTEM32:
Lleguemos hasta ella:
Si vemos en el STACK, podremos dirigirnos al parámetro buffer (Follow in Dump):
Si pasamos la CALL con F8 veremos la ruta en el buffer:
Si seguimos traceando llegaremos hasta la siguiente string, lo más probable es que se concatenará con la ruta de SYSTEM32:
Llegamos hasta la siguiente instrucción:
Si miramos los registros de propósito general, veremos que [EAX] y [ECX] apuntan
a una archivo con extensión.acy:
Si seguimos traceando llegaremos hasta la API CreateFileW, encargada de crear o abrir un objeto:
Si vemos en el dump veremos que el parámetro FileName apunta a la concatenación anterior realizada por el programa:
Ahora si presionamos F9, nos aparecerá el siguiente mensaje:
Intentemos ver el contenido del archivo creado por el programa, nos vamos a la ruta:
Lo abrimos con NOTEPAD y veremos lo siguiente:
Si movemos la barra de desplazamiento de ventana hacia la izquierda notaremos los siguientes datos:
Si nos vamos a REGISTER veremos lo siguiente:
Si borramos el archivo mkdw48.acy y reiniciamos el programa veremos que volvemos a tener el programa como NO registrado:
Nombre:Wondershare Time Freeze
Página web:www.wondershare.com
Descarga:http://www.wondershare.com/pro/time-freeze.html
Versión:2.0.3
Autor del tutorial:UND3R
I-Inspeccionando el programa:
Una vez instalado el programa, iniciamos el programa y veremos lo siguiente:
Si introducimos un mail y una contraseña, nos aparecerá el siguiente mensaje:
*En mi caso e-mail: UND3R@CRACK.COM Registration code: TUTORIAL
II-Usando OllyDBG:
Cargamos el programa OllyDBG y veremos el siguiente Entry Point
Si buscamos referencias de textos y buscamos REGISTERED nos encontraremos con lo siguiente:
Hacemos doble clic al texto encontrado:
Si subimos un poco encontraremos una serie de JMP'S SHORT pero ninguno interesante, hasta que encontraremos el siguiente salto que podría ser la bifurcación entre un serial válido y uno No válido:
Intentemos llenar con NOP (Not Operand):
Lo más probable es que sea el punto de bifurcación correcto, pero intentemos ver que realiza el programa para registrarlo. Colocamos un BP a continuación:
Entremos a la call 00426C3A:
Veremos la siguiente API GetSystemDirectoryW, esta API se encarga de devolver en el búfer la ruta de SYSTEM32:
Lleguemos hasta ella:
Si vemos en el STACK, podremos dirigirnos al parámetro buffer (Follow in Dump):
Si pasamos la CALL con F8 veremos la ruta en el buffer:
Si seguimos traceando llegaremos hasta la siguiente string, lo más probable es que se concatenará con la ruta de SYSTEM32:
Llegamos hasta la siguiente instrucción:
Si miramos los registros de propósito general, veremos que [EAX] y [ECX] apuntan
a una archivo con extensión.acy:
Si seguimos traceando llegaremos hasta la API CreateFileW, encargada de crear o abrir un objeto:
Si vemos en el dump veremos que el parámetro FileName apunta a la concatenación anterior realizada por el programa:
Ahora si presionamos F9, nos aparecerá el siguiente mensaje:
Intentemos ver el contenido del archivo creado por el programa, nos vamos a la ruta:
Lo abrimos con NOTEPAD y veremos lo siguiente:
Si movemos la barra de desplazamiento de ventana hacia la izquierda notaremos los siguientes datos:
Si nos vamos a REGISTER veremos lo siguiente:
Si borramos el archivo mkdw48.acy y reiniciamos el programa veremos que volvemos a tener el programa como NO registrado:
UND3R
