Mensajes

http://foro.elhacker.net/ingenieria_inversa/mi_primer_crackme-t256488.0.html

Mis saludos al foro muchas gracias por ayudarnos y sacarnos de muchas dudas bueno queria que me ayuden en abrir un archivo .dat que era utilizado por un programa hecho en delphi el cual se estropeo quiero recuperar los archivos que tiene guardado este dat ya que tenia algunos archivos importantes espero me puedan ayudar con algunos tips para abrirlo les dejo el link para que le den un vistaso gracias.

http://www.megaupload.com/?d=DI8IITFX

los .DAT se acercan demasiado al binario, será algo complicado sin el ejecutable que lo interpreta

http://karmany.fortunecity.com/ 

[OllyScript?]

si estas en 00457b4 es porque si salto, si no salto, sigue en la instruccion que continua al jz. Para el caso  en 00427XX

Si quieres asegurarte que 45754 se ejecute solamente si hubo un salto, coloca un jmp antes.

Código [Seleccionar] Expandir


00457XX jmp 00XXXXXX
00457b4  ;si estas aqui, es que viene desde el salto (jz 457b4)


Entiendo la idea, pero como aplicarla en OllyScript?

Saludos y gracias por responder

Me pasaba lo mismo, pero luego te acostumbras, además te acostumbras a diferenciar automáticamente las secciones del ejecutable,la cabezera PE las secciones de las dll,etc es tiempo jeje

Saludos

Dos formas:
1) intentar encontrar el salto que abre el form de registrar
2) esto es algo complicado pero válido, que automáticamente introduzca el serial y presione aceptar API:

GetModuleHandle
CreateProcess
CreateWindowTextA
SetWindowTextA
cambiar el ret por un jmp

3)enviar un mail a los creadores del software, diciendo que es algo incómodo para ti tener que abrir el keygen cada segundo 

Saludos

[0123456789ABCDF]

Creo que no se puede,aunque 004XXXXXX son virtual address entendibles  

Recuerda que van de 0123456789ABCDF

no lo puse hacia abajo por que cuando pones copy to clipboard no lo copia hacia abajo

[>]

00401444 > $ /EB 10              JMP SHORT CrackMe1.00401456
00401446     |66                 DB 66                                   ;  CHAR 'f'
00401447     |62                 DB 62                                   ;  CHAR 'b'
00401448     |3A                 DB 3A                                   ;  CHAR ':'
00401449     |43                 DB 43                                   ;  CHAR 'C'
0040144A     |2B                 DB 2B                                   ;  CHAR '+'
0040144B     |2B                 DB 2B                                   ;  CHAR '+'
0040144C     |48                 DB 48                                   ;  CHAR 'H'
0040144D     |4F                 DB 4F                                   ;  CHAR 'O'
0040144E     |4F                 DB 4F                                   ;  CHAR 'O'
0040144F     |4B                 DB 4B                                   ;  CHAR 'K'
00401450     |90                 NOP
00401451     |E9                 DB E9
00401452   . |9C104900           DD OFFSET CrackMe1.___CPPdebugHook
00401456   > \A1 8F104900        MOV EAX,DWORD PTR DS:[49108F]

el > de color rojo en realidad está hacia abajo (puedes notarlo si ves algún jump en OllyDBG) e indica que es un salte y el > de color azul es tu duda y son opcodes que reciben un salto es decir 00401456 recibirá un JMP SHORT CrackMe1.00401456 en 00401444

Hola .:UND3R:.

Comentarte que he visto el post y juro que no he mirado nada para asi poder probar el crackme y6 cuando me vaya quedando atascado irlo leyendo poco a poco para intentar comprender todo lo que explicas.

Felicitaciones por el tutorial..

Saludos

Psdta:
Para a quien le interese, al no tener el crackme lo he buscado y lo he encontrado aqui:
http://foro.elhacker.net/ingenieria_inversa/crack_me_02_by_red_mx-t256104.0.html

Muchas gracias, que bueno que te haya gustado

Los crackmes están todos disponibles para descargar desde la web de karmany:

Si el enlace a cualquier crackme falla, pueden utilizar la siguiente página para descargarlos:
http://karmany.fortunecity.com/

Saludos y suerte con el crackme