Cuando lo abres con Winrar te pone a la derecha la contraseña que es ésta:
www.indetectables.net
www.indetectables.net
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#752
Ingeniería Inversa / Re: Crackmes / Tutoriales
4 Agosto 2009, 21:14 PMCRACKME: Crackme#1 por Thunder
Autor: Thunder
Nombre: Crackme#1
Fecha: 04 de agosto de 2009
Tamaño: 471040 bytes
Hash MD5: 1ffa162fec5880e5f77711c84458d6dd
Compilador y/o Packer: UPX -> Borland C++
Objetivos:
serial valido para su nombre y una pequeña reseña de
como logro sacarlo
Dificultad: ? (1-10).
Descarga del crackme:
mismo link.
Post Original:
http://foro.elhacker.net/ingenieria_inversa/crackme1_by_thunder-t263313.0.html
Tutorial con la solución:
PeterPunk77 hizo un keygen. Su descarga está en el mismo link.
#753
Ingeniería Inversa / Re: Donde empiezo para liberar un programa de la mochila Aladdin Hardlock
4 Agosto 2009, 21:03 PM
Una tontería pero en el OEP en el programa Import RE tienes que poner la RVA (Relative Virtual Address) no la VA. Supongo que lo has hecho así, pero por si acaso.
Si no sabes cambiar la VA a RVA te dejo mi programa que lo hace automáticamente:
http://foro.elhacker.net/ingenieria_inversa/file_location_calculator_v032_por_karmany-t262979.0.html
Otra cosa... para que OEP finder encuentre el OEP correcto tienes que insertar el hasp, si no fallará.
Si sabes llegar al OEP correcto y reparas la IAT (lee mi tute que te dejé, te ayudará) ya casi lo tienes...
ImportRE suele fallar bastante, pero eso no es problema. Lo normal que solemos hacer es llegar al OEP y buscar en OllyDbg una API y dumpear ese valor en la ventana de dump de OllyDbg. Ahí pones la vista de Address(long->address) y verificas las API y ves el comienzo de la IAT y el final... y así ayudas a Import RE y puedes ver si está todo correcto... no sé si me vas a entender...
ImportRE es muy buen programa...
Si no sabes cambiar la VA a RVA te dejo mi programa que lo hace automáticamente:
http://foro.elhacker.net/ingenieria_inversa/file_location_calculator_v032_por_karmany-t262979.0.html
Otra cosa... para que OEP finder encuentre el OEP correcto tienes que insertar el hasp, si no fallará.
Si sabes llegar al OEP correcto y reparas la IAT (lee mi tute que te dejé, te ayudará) ya casi lo tienes...
ImportRE suele fallar bastante, pero eso no es problema. Lo normal que solemos hacer es llegar al OEP y buscar en OllyDbg una API y dumpear ese valor en la ventana de dump de OllyDbg. Ahí pones la vista de Address(long->address) y verificas las API y ves el comienzo de la IAT y el final... y así ayudas a Import RE y puedes ver si está todo correcto... no sé si me vas a entender...
ImportRE es muy buen programa...
#754
Ingeniería Inversa / Re: llave HASP Paralelo
4 Agosto 2009, 01:02 AM
Ciertamente no sé si existe un adaptador compatible... no lo sé.
Tienes tres opciones:
1)-Como te he comentado no tengo ni idea de si existe un adaptador. Por la red me he encontrado lo siguiente:
pero me parece que no debe funcionar o eso he oído comentar...
2)-Existen programas que permiten emular distintas dongles. Tal vez sea posible que la emules y puedas pasarla a un usb. Echa un vistazo a estas páginas a ver:
http://nodongle.biz/
http://www.dongle2bin.com/
3)-La última opción es el uso de Ingeniería Inversa y se trata de utilizar el programa en un ordenador donde puedas poner el HASP y desempacarlo como si fuese un packer más. Para que lo entiendas te dejo un tutorial mío:
Desempacar HASP por karmany
Ciertamente, rockernault es un tema algo complejo. Espero tengas suerte.
Tienes tres opciones:
1)-Como te he comentado no tengo ni idea de si existe un adaptador. Por la red me he encontrado lo siguiente:
pero me parece que no debe funcionar o eso he oído comentar...
2)-Existen programas que permiten emular distintas dongles. Tal vez sea posible que la emules y puedas pasarla a un usb. Echa un vistazo a estas páginas a ver:
http://nodongle.biz/
http://www.dongle2bin.com/
3)-La última opción es el uso de Ingeniería Inversa y se trata de utilizar el programa en un ordenador donde puedas poner el HASP y desempacarlo como si fuese un packer más. Para que lo entiendas te dejo un tutorial mío:
Desempacar HASP por karmany
Ciertamente, rockernault es un tema algo complejo. Espero tengas suerte.
#755
Ingeniería Inversa / Re: RunPE Killer V. 1.0 By Psymera
3 Agosto 2009, 04:50 AM
Primeramente felicitarte por el gran trabajo, puesto que conseguir extraer el archivo original de todos esos crypter significa que has tenido que pasar unas cuantas horas analizándolos.
Lo he probado y ha funcionado correctamente. Me parece un programa muy bueno.
karmany
PD. cualquier cosa que vea, cualquier fallo ya te lo comentaré.
Lo he probado y ha funcionado correctamente. Me parece un programa muy bueno.
karmany
PD. cualquier cosa que vea, cualquier fallo ya te lo comentaré.
#756
Ingeniería Inversa / Re: Argumentos en olly
2 Agosto 2009, 14:30 PM
Eso depende de cómo ha sido programado el programa.
Normalmente el principio de código de un programa (win32 nativo) suele comenzar por Winmain:
Como puedes observar en lpszArgument tienes la dirección a los argumentos. Ahora yo como programador puedo hacer lo que quiera con los argumentos: los separas por comas, por espacios etc...
PD. Tal vez en el archivo de ayuda del programa te lo explique.
Normalmente el principio de código de un programa (win32 nativo) suele comenzar por Winmain:
Código [Seleccionar]
int WINAPI WinMain (HINSTANCE hThisInstance, HINSTANCE hPrevInstance, LPSTR lpszArgument, int nFunsterStil)Como puedes observar en lpszArgument tienes la dirección a los argumentos. Ahora yo como programador puedo hacer lo que quiera con los argumentos: los separas por comas, por espacios etc...
PD. Tal vez en el archivo de ayuda del programa te lo explique.
#757
Ingeniería Inversa / Re: Ayuda con ejecutables
2 Agosto 2009, 14:18 PM
"¿por que unos programas empiezan con PUSH o CALL o MOV, es decir por que no empiezan igual con PUSH EBP"?
Eso depende del compilador, ensamblador, packer etc... me imagino que te refieres al EP (Punto de Entrada) del programa. Tú mismo podrías poner el inicio de un programa en una sección diferente y comenzarlo de otra forma.
En un Visual Basic comenzará en un push, mientras que por ej. en un Borland c++ suele ser un jmp...
¿como funciona un PACKER?
Partimos de un programa empacado, protegido por un Packer cualquiera.
Pues efectivamente el programa está dentro del programa empacado, pero claro depende de los packers: hay packers muy sencillos que extraen el exe original tal cual y le pasan la ejecución. Esto sería muy fácil restaurarlo.
Sin embargo, existen packers más difíciles (armadillo como has comentado en otro post) que aunque extraigas (dumpees) el archivo no te va a funcionar... ¿por qué?
Pues por muchos factores... tienes que pensar como si fueras el programador del packer... ¿qué hace el packer? pues el programa empacado se va descomprimiendo, va cargando las librerías necesarias, va haciendo chequeos antidebugger, modifica el PE header malignamente y lo que hacen la mayoría: destrozan la IAT. ¿Tú qué tienes que hacer? pues tienes que detener al programa en el OEP y principalmente reparar la IAT.
Si no tienes mucha experiencia no te recomiendo un armadillo, porque no vas a entender muchas cosas y lo importante es saber el porqué. Empieza con un UPX por ejemplo que es muy sencillo.
Eso depende del compilador, ensamblador, packer etc... me imagino que te refieres al EP (Punto de Entrada) del programa. Tú mismo podrías poner el inicio de un programa en una sección diferente y comenzarlo de otra forma.
En un Visual Basic comenzará en un push, mientras que por ej. en un Borland c++ suele ser un jmp...
¿como funciona un PACKER?
Partimos de un programa empacado, protegido por un Packer cualquiera.
Pues efectivamente el programa está dentro del programa empacado, pero claro depende de los packers: hay packers muy sencillos que extraen el exe original tal cual y le pasan la ejecución. Esto sería muy fácil restaurarlo.
Sin embargo, existen packers más difíciles (armadillo como has comentado en otro post) que aunque extraigas (dumpees) el archivo no te va a funcionar... ¿por qué?
Pues por muchos factores... tienes que pensar como si fueras el programador del packer... ¿qué hace el packer? pues el programa empacado se va descomprimiendo, va cargando las librerías necesarias, va haciendo chequeos antidebugger, modifica el PE header malignamente y lo que hacen la mayoría: destrozan la IAT. ¿Tú qué tienes que hacer? pues tienes que detener al programa en el OEP y principalmente reparar la IAT.
Si no tienes mucha experiencia no te recomiendo un armadillo, porque no vas a entender muchas cosas y lo importante es saber el porqué. Empieza con un UPX por ejemplo que es muy sencillo.
#758
Ingeniería Inversa / File Location Calculator v.0.3.2 por karmany
1 Agosto 2009, 12:20 PM
Os presento esta herramienta gratuita que puede ser muy útil.
-Permite calcular los tres tipos de direcciones: Virtual Address, Relative Virtual Address, Offset
-Compatibilidad con Windows XP, Windows Vista, Windows 7.
-Tiene incorporado un editor hexadecimal(original de yoda)
-Shell menú extensión
-Botón privilegios (gracias ny0x)
Datos del archivo ejecutable:
Hash MD5= 84b3d0b800dffa440393768840860289
Tamaño = 579853 bytes
Descarga:
http://tuts4you.com/download.php?view.2790
Gracias a Teddy Rogers por subirlo a su página.
Image interfaz:
-Permite calcular los tres tipos de direcciones: Virtual Address, Relative Virtual Address, Offset
-Compatibilidad con Windows XP, Windows Vista, Windows 7.
-Tiene incorporado un editor hexadecimal(original de yoda)
-Shell menú extensión
-Botón privilegios (gracias ny0x)
Datos del archivo ejecutable:
Hash MD5= 84b3d0b800dffa440393768840860289
Tamaño = 579853 bytes
Descarga:
http://tuts4you.com/download.php?view.2790
Gracias a Teddy Rogers por subirlo a su página.
Image interfaz:
#759
Ingeniería Inversa / Re: Ayuda crackeando un programa en ollydbg
28 Julio 2009, 11:09 AM
Acabo de descargarme el tutorial 21 de "Introducción al cracking con OllyDbg" de Ricardo Narvaja.
Quiero comentarte que a mi me funciona perfectamente: da igual que ponga o quite las excepciones.
Tal vez sea problema de algún plugin que te está creando conflicto, así que prueba a ir quitando plugins a ver. También en el tutorial creo que se habla de modificar la Classe a la ventana de OllyDbg...¿Es posible que no la hayas modificado correctamente?
Yo te recomiendo lo siguiente: descargate de nuevo el OllyDbg 1.10 de su página web y descárgate de momento solamente el plugin del que habla el tutorial y prueba de nuevo.
Descargas:
OllyDbg 1.10 original:
http://www.ollydbg.de/odbg110.zip
Plugin que se utiliza en el tutorial:
http://tuts4you.com/download.php?view.57
Quiero comentarte que a mi me funciona perfectamente: da igual que ponga o quite las excepciones.
Tal vez sea problema de algún plugin que te está creando conflicto, así que prueba a ir quitando plugins a ver. También en el tutorial creo que se habla de modificar la Classe a la ventana de OllyDbg...¿Es posible que no la hayas modificado correctamente?
Yo te recomiendo lo siguiente: descargate de nuevo el OllyDbg 1.10 de su página web y descárgate de momento solamente el plugin del que habla el tutorial y prueba de nuevo.
Descargas:
OllyDbg 1.10 original:
http://www.ollydbg.de/odbg110.zip
Plugin que se utiliza en el tutorial:
http://tuts4you.com/download.php?view.57
#760
Ingeniería Inversa / Cómo encontrar el OEP
27 Julio 2009, 11:48 AM
Para muchos Newbies es muy difícil pararse en el OEP (Punto de Entrada Original) de un programa. Recibo muchos mensajes sobre este tema.
Realmente en algunos compiladores como Visual Basic 6.0, es muy fácil porque es muy característico.
Un programa empacado (comprimido, protegido por un packer, empaquetado o como lo queráis llamar) su primera instrucción es el EP(Punto de Entrada). A partir de este momento el programa va descomprimiendose, va haciendo chequeos de cualquier tipo y finalmente cuando se ha descomprimido del todo va directo al OEP.(Como norma general).
¿Cómo se llega al OEP? ¿Cómo podemos pararnos en el OEP? Aquí entra a jugar la experiencia de cada uno, las pruebas que hagamos y muchísimas cosas que se nos ocurran.
Como muchos Newbies preguntan cómo detenernos en el OEP, pues voy a poner el enlace de un programa realmente bueno, que muchísimas veces atina realmente en el verdadero OEP. Por supuesto no es fiable al 100% pero os puede ayudar muchísimo. Se llama OEP Finder y lo realizó Human.
Enlace:
http://www.tuts4you.com/download.php?view.396
Realmente en algunos compiladores como Visual Basic 6.0, es muy fácil porque es muy característico.
Un programa empacado (comprimido, protegido por un packer, empaquetado o como lo queráis llamar) su primera instrucción es el EP(Punto de Entrada). A partir de este momento el programa va descomprimiendose, va haciendo chequeos de cualquier tipo y finalmente cuando se ha descomprimido del todo va directo al OEP.(Como norma general).
¿Cómo se llega al OEP? ¿Cómo podemos pararnos en el OEP? Aquí entra a jugar la experiencia de cada uno, las pruebas que hagamos y muchísimas cosas que se nos ocurran.
Como muchos Newbies preguntan cómo detenernos en el OEP, pues voy a poner el enlace de un programa realmente bueno, que muchísimas veces atina realmente en el verdadero OEP. Por supuesto no es fiable al 100% pero os puede ayudar muchísimo. Se llama OEP Finder y lo realizó Human.
Enlace:
http://www.tuts4you.com/download.php?view.396