Mensajes

Sabes también lo que pasa N30h}, que existen muchísimas herramientas para trabajar con ingeniería inversa y también existen muchísimos sitios donde puedes descargarlas. En un tiempo pensamos actualizar enlaces sobre descarga de tools, pero aun está pendiente... no lo sé, ya veremos lo que hacemos.

Un saludo.

Hola Graphixx, primeramente gracias por compartir.

Bueno, yo soy de la opinión de apuromafo, yo no soy partidario de eliminar los recursos así sin más. Pienso que hay que analizar el código. Si no me equivoco ese ocx estará hecho con Visual Basic 6 y sin protección, así que no debe ser difícil analizarlo.

De todos modos si a ti te funciona bien así, pues adelante pero yo no recomiendo que la gente se lo descargue. Eliminando recursos puedes conseguir que se produzcan excepciones no esperadas y que se ejecute código no deseado.

Un saludo-

Hola Fucko,
El problema es que winlicense es complejo. Es la misma protección de Themida pero con licencias para usuarios.
Para desempacar un winlicense hay que dedicarle tiempo, mucho tiempo de pruebas y análisis. Yo no dispongo de tiempo para este análisis.

Deberías leer tutoriales sobre themida. Seguro que alguno se asemeja al tuyo. También hay scripts que te pueden ayudar. Echa un vistazo también a la página Tuts4You.

Suerte.

Gracias realmente chicos, si me pudieran explicar algo de como lo hicieron, al menos para investigarlo seria genial.

Simplemente depura el programa con OllyDBG. Ejecútalo y espera a que te de error de conexión y sale el MessageBoxExA. Paras OllyDBG en modo pausa y observas la pila y verás toda esta información.

Mismo hilo:
http://foro.elhacker.net/ingenieria_inversa/extraer_cadena_de_conexion-t321152.0.html;msg1588590#msg1588590

Parece sencillo. Si no me equivoco utiliza un control de datos ADO para la conexión porque utiliza msado15.
Mira todo lo relativo a la conexión (repito si no me equivoco, no lo he analizado muy a fondo) con la base de datos lo hace a través de la librería
MSMEGFIS.dll, que ha sido acertado que la subieras.

La conexión tira error e intenta conectarse:
0012F7D8  UNICODE "driver={SQL Server};server=succoosemig;uid=sa;pwd=srhv;database=Grau"

Que son los mismos datos de 43H4FH44H45H4CH49H56H45H.

uid = User ID
User Id=sa;Password=srhv;Data Source=succoosemig;Initial Catalog=Grau


Es sencillo. Saludos
PD. Para hacerlo funcionar he tenido que crear un instalador con Inno Setup...

Estoy echándole un vistazo. No te preocupes que encontraremos la cadena de conexión. Veremos cómo la ha realizado.

Aún hay que descargar distintos ocx necesarios(los estoy buscando por la red)... pero yo creo que en breve daremos con la solución. Luego seguiré con él.

Es muy sencillo.
Carga tu programa en OllyDBG 1.10, pulsa Ctr+G e introduce: MessageBoxA
Pon un Breakpoint ahí(F2).

Ejecuta tu programa y haz que salte el messagebox y que pare en el BP que has puesto. Verás en la pila de dónde es llamado el messagebox y tiene que volver a la dll que comentas. Para eliminar el messagebox es muy sencillo: ve al código de la dll de donde es llamado el msgbox(mira el retorno de la función en la pila), elimina los push que se hayan introducido en la pila y la llamada a la función. Y ya está. Si no quieres eliminar los push devuelve a la pila a su estado para que no tengas ningún problema.

Para saber de dónde es llamado el mesagebox en la librería, depura el programa y ponle un breakpoint en la funcion: MessaBoxA o MessageBoxExA.
Entonces ya sabrás de dónde es llamado y si puedes o no evitarlo. Si no es una condición podrás eliminarlo sin problema. Si el programa no está empacado o protegido tiene que ser algo sencillo.

Si nos dejas el ejecutable le podríamos echar un vistazo.