Mensajes

[realmente interesado]

Al parecer es un Themida, digo porque eso se ve en la parte de memoria del Olly.
Es durísimo de laburar y eso es lo que estoy buscando, no pido que me den la posta simplemente que pueda laburar y poner los breakpoints donde yo quiera, nada más.

Lo más cercano a poder "caminar" por el mismo fue usando la versión de un árabe de Olly llamada HanOlly que aparentemente viene con un driver para evitar las llamadas ZwNosecuanto del kernel (si esa maldita parte del ring0)

No sé si podrán ayudarme ya que es parcheador en memoria de un  j u e g o  y tendrían que bajarse el  j u e g o  e instalarlo y crearse la cuenta, etc. etc.
Les dejo el programa
...y la versión de Olly con la que estoy probando y parece funcionar, pero es escasa mi sapiencia sobre las APIS del sistema(ya probé OllyforThemida, Olly y los plugins OllyDbgAdvanced_1.2,IsDebugger y Phantom todos juntos como dice en este tutorial. Así también la versión de Shadow y a su vez todas ellas con HideToolz también)
Creo que estoy cerca con esta versión pero me gustaría mucho la opinión de los que más saben para saber si sigo por este camino o busco otra forma.

Disculpen las palabras separadas pero sé que el  a d m i n  del  j u e g o  está constantemente en la búsqueda para volver a proteger.
Si alguno está realmente interesado en que es lo que realmente busco (procedimiento interno) por favor contáctese conmigo.
Gracias

[post]

Que buen trabajo en equipo hicieron gente, la verdad da gusto leer el post
Si de algo les sirve, mi hermano solía proteger así sus programas tomando datos de la pc donde se intalaba (valores BIOS, parámetros HD, etc.) lo cual aseguraba que ese programa no podía ser instalado en ningun otra PC. No es nada del otro mundo y según me comentó es facil de sacar solo que al estar en DOS es más trabajoso.
Saludos a todos y si tienen tiempo y desean investigar denme una mano con mi post 

[tena]

Proba pasandole el RDG Packer detector para saber con que esta empacado.

el link lo podes encontrar aqui mismo en herramientas..

Saludos
tena

Gracias tena... pero ahora entiendo menos, por donde va la cosa?
Themida, Upolyx o Xprotector?
Te dejo screen de RDG PAcket Detector 0.6.5


Edit: Empecé a leer estos tutoriales a ver si encuentro algo desde adentro con que identificarlo (que Dios se apiade de mí... ), les dejo los links:

Tutorial en Ricardo Narvaja Teoria Themida por Akira
Tutorial en Ricardo Narvaja Teoria Xprotector por Akira

Buenas gente, estoy trabajando en desproteger una aplicación y estoy teniendo problemas con las protecciones antidebugger.
Les presento el caso:
---Usando OllyDbgAdvanced_1.2 me lo detecta igual y se cierra.
---Usando la versión de Shadow, no lo detecta, pero se cierra cuando le doy al primer F9.
---Ocultando Olly con HideToolz no hay problema, pero al parecer es como si corriese algo en forma "encapsulada" o "protegida" no sé bien como decirlo ya que soy relativamente nuevo en esto.
El caso en particular es que este programa trabaja con el kernel32.dll usando el WriteProcessMemory y no puedo setear un breakpoint en acceso al mismo ya que por más que oculte el debugger o lo que sea al parecer internamente cierra el hilo que se encarga de eso y sigue funcionando "mostrándose" como que nada pasó.
Mi pregunta es si estoy bien encaminado o no, ya que el PEiD del Universal Extractor me detecta lo siguiente:

Y el PEiD del OLLYDBG FULL 0_1_1_YDbg.rar me tira esto:


La duda es de que se trata y como tengo que encarar el tema...
¿primero tengo que sacar UPolyx y luego Themida?
¿Puedo seguir algún tutorial ya armado para este caso en particular?
¿Es Themida o Winlicense?

Sepan disculpar, pero la verdad ya no sé que más hacer y les juro que no es de vago pero esto me desvela de solo saber como puedo hacer.
Gracias desde ya.... y piedad