Mensajes

hola de nuevo, gracias eres el unico que aunque sin soluciones, ni ninguna teoria para poner en prueba me estas echando una mano.
Explicate por favor, porq no entiendo lo q quieres decir.
Por lo que veo es que SIN DESEMPACAR corre bien el programa tanto en olly como sin el, y una vez que LO DESEMPACO se cierra y me abre ventanas de MIS DOCUMENTOS tanto en olly como sin el.
Vale, vale.... lo entendi ahora mismo.



Entonces en caso de que el PROGRAMA DESEMPACO detecte que esta DESEMPACADO como hago para que el PROGRAMA DESEMPACADO no lo sepa, o no lo vea.

Fuera del olly pasa exactax lo mismo q en olly, el exe original va bien, el desempacado (estaba empacado con telock y lo desempaque con VMUnpacker) y ha subido unos 3 megas de tamaño, se cierra, y me abre un monton de ventanas de mis documentos, a veces 2 o 3, otras veces entra en bucle y tengo q cerrar el programa para q pare de abrir mas ventanas. Igual q en olly, el original bien, el desempacado se cierra. He probado con HideOd, phantom, pero nada.

estaba empacado con telock, lo desempaco y cuando lo ejecuto en olly se cierra, y el exe original (empacado) funciona bien, alguna idea??

gracias MCKSys por decirme lo de enviar el mensaje para el kb2010, hoy lo he recibido.
Esta desempacado con VMUnpacker, pero es cierto se puede debuggear sin desempacarlo bastante bien, pero desempacado se muestra mas claro el codigo, las apis,

Y respecto a mDrinky, como taparia la API?

Pues eso, si alguien me echa una mano con este tema....
ya abri otro hilo pero nadie me ayudo no se si no lo plantee claro,
necesito que al ejecutar el programa en olly no se cierra para poder usar el plugin WindowsInfos para seguir el serial falso q meta.

Hola, gracias por el consejo, pero acabo de descubrirlo tambien... el archivo kb2010.rar esta protegido, y tampoco tengo tantas ganas de emparanoyarme con otro, no tiene nadie el password???

ah por cierto, acabo de descubrir el DEDE, he estado trasteando con el, el archivo original (empacado) no hace nada, el unpacker si, veo muchisimos datos, y pasa exactamente igual q con olly, se cierra el programa, (no el DEDE) y abre 2 o 3 ventanas, q son las de MIS DOCUMENTOS, exactax igual q pasa en olly, buscare algun manual de DEDE.

Hola a todos, pues eso, llevo bastante tiempo ya con este programa, es un editor del nba 2k11/12 (a los que le guste el basket lo conoceran). El tio, lo ha creado y lo cobra, en mi vida he visto un editor de un juego q se cobre (o al menos muy pocos). No sabia nada de ingenieria inversa hasta hace dos meses, he estudiado los manuales de ricardo narvaja, y varias cosas mas, pero creo q este es de nivel 10.

Lo primero, le pase Pescan331, peid 0.95 y rdg packer detector, los 3 me decian que empacado con Telock unos, 0.90, 0.98, y otro 0.99. Y me indicaban un OEP (el mismo) distinto de despues de desempacarlos.
Lo desempaque con GUnPacker 0.4 y VMUnpacker creandome 3 archivos nuevos del ejecutable, uno que llamo REDITORII_unpacked.exe (con mas tamaño),una copia de seguridad BAK, y uno con extension .dump(imagino q dumpeado), le volvi a pasar pescan, peid y rdg y ya no detectaba ningun packer, me decia el lenguaje Borland delphi 6 o 7 en el que esta escrito, y el OEP distinto a antes de desempacarlo, y el mismo en los tres casos.

Cuando abro el original en olly y lo ejecuto todo bien, pero cuando abro el desempacado y lo ejecuto, se cierra y me abre unas cuantas ventanas, olly no se cuelga. He puesto varios plugins en olly hideod, phantom, pero sigue igual.
Si alguien me puede ayudar en este punto estaria encantado.

Y por otro lado he seguido este manual 102-Tutorial_Delphi parte 1 por The_Chameleon.rar y bien, veo como coge el serial q meto falso y como uno a uno lo va moviendo, etc, pero me pierdo, vi creo q por casualidad una string del q podria ser un serial valido(no lo era), y tenia cerca de 70 caracteres.
Nada lo dicho cualquier ayuda sera bien recibida. Un saludo para todos.

Hola tena, gracias de nuevo por tu ayuda desinteresada, bien sabe dios (aunq no creo en el, solo es la expresion) q si hay algun conocimiento, o algo que tenga en mi mano q necesites es tuyo.
Solo quiero asegurarme de a lo q te refieres...
Entro en el call 005B9A84  |.  E8 9B8BECFF   CALL REDitor.00482624 pulsando F7, para verlo por dentro y a donde me lleva, bueno a donde me lleva sera a 00482624, y ensambla esta linea, te refieres a q yo la creo como parte de codigo nuevo?? siendo [LOCAL.2] el registro q sea??? aun asi voy a probar a ver q tal, gracias.

Esta es la primera parte, podeis ver el The key is invalid y el "Valido" el PUSH EBP de la direccion 005b93d4 (la primera linea del codigo) tiene dos llamadas locales segui las dos y en la segunda llamada (005b9a11) siguiendola llegue al salto q os muestro despues de esta sección de codigo.


005B93D4  /$  55            PUSH EBP
005B93D5  |.  8BEC          MOV EBP,ESP
005B93D7  |.  83C4 DC       ADD ESP,-24
005B93DA  |.  33C9          XOR ECX,ECX
005B93DC  |.  894D DC       MOV [LOCAL.9],ECX
005B93DF  |.  894D E8       MOV [LOCAL.6],ECX
005B93E2  |.  894D E4       MOV [LOCAL.7],ECX
005B93E5  |.  894D E0       MOV [LOCAL.8],ECX
005B93E8  |.  8955 F8       MOV [LOCAL.2],EDX
005B93EB  |.  8945 FC       MOV [LOCAL.1],EAX
005B93EE  |.  8B45 FC       MOV EAX,[LOCAL.1]
005B93F1  |.  E8 22E2E4FF   CALL REDitor.00407618
005B93F6  |.  8B45 F8       MOV EAX,[LOCAL.2]
005B93F9  |.  E8 1AE2E4FF   CALL REDitor.00407618
005B93FE  |.  33C0          XOR EAX,EAX
005B9400  |.  55            PUSH EBP
005B9401  |.  68 3F955B00   PUSH REDitor.005B953F
005B9406  |.  64:FF30       PUSH DWORD PTR FS:[EAX]
005B9409  |.  64:8920       MOV DWORD PTR FS:[EAX],ESP
005B940C  |.  8B45 FC       MOV EAX,[LOCAL.1]
005B940F  |.  8B55 F8       MOV EDX,[LOCAL.2]
005B9412  |.  E8 89E9E4FF   CALL REDitor.00407DA0
005B9417  |.  0F9445 F7     SETE BYTE PTR SS:[EBP-9]
005B941B  |.  807D F7 00    CMP BYTE PTR SS:[EBP-9],0
005B941F  |.  0F85 C9000000 JNZ REDitor.005B94EE
005B9425  |.  C745 F0 05000>MOV [LOCAL.4],5
005B942C  |.  8B45 F0       MOV EAX,[LOCAL.4]
005B942F  |.  F7D8          NEG EAX
005B9431  |.  83C0 02       ADD EAX,2
005B9434  |.  8945 F0       MOV [LOCAL.4],EAX
005B9437  |.  8D45 FC       LEA EAX,[LOCAL.1]
005B943A  |.  8B55 F8       MOV EDX,[LOCAL.2]
005B943D  |.  E8 42E2E4FF   CALL REDitor.00407684
005B9442  |.  8B45 FC       MOV EAX,[LOCAL.1]
005B9445  |.  8B55 F8       MOV EDX,[LOCAL.2]
005B9448  |.  E8 53E9E4FF   CALL REDitor.00407DA0
005B944D  |.  74 07         JE SHORT REDitor.005B9456
005B944F  |.  C745 F0 65030>MOV [LOCAL.4],365
005B9456  |>  8D45 E8       LEA EAX,[LOCAL.6]
005B9459  |.  50            PUSH EAX
005B945A  |.  B9 0E000000   MOV ECX,0E
005B945F  |.  BA 01000000   MOV EDX,1
005B9464  |.  8B45 F8       MOV EAX,[LOCAL.2]
005B9467  |.  E8 9CE9E4FF   CALL REDitor.00407E08
005B946C  |.  FF75 E8       PUSH [LOCAL.6]
005B946F  |.  8D55 E4       LEA EDX,[LOCAL.7]
005B9472  |.  8B45 F0       MOV EAX,[LOCAL.4]
005B9475  |.  E8 52B3E5FF   CALL REDitor.004147CC
005B947A  |.  FF75 E4       PUSH [LOCAL.7]
005B947D  |.  8D45 E0       LEA EAX,[LOCAL.8]
005B9480  |.  50            PUSH EAX
005B9481  |.  B9 07000000   MOV ECX,7
005B9486  |.  BA 0F000000   MOV EDX,0F
005B948B  |.  8B45 F8       MOV EAX,[LOCAL.2]
005B948E  |.  E8 75E9E4FF   CALL REDitor.00407E08
005B9493  |.  FF75 E0       PUSH [LOCAL.8]
005B9496  |.  8D45 F8       LEA EAX,[LOCAL.2]
005B9499  |.  BA 03000000   MOV EDX,3
005B949E  |.  E8 3DE7E4FF   CALL REDitor.00407BE0
005B94A3  |.  33C0          XOR EAX,EAX
005B94A5  |.  8945 F0       MOV [LOCAL.4],EAX
005B94A8  |>  8D45 F8       /LEA EAX,[LOCAL.2]
005B94AB  |.  BA 5C955B00   |MOV EDX,REDitor.005B955C                                          ;  UNICODE "The Key is Invalid!"
005B94B0  |.  E8 CFE1E4FF   |CALL REDitor.00407684
005B94B5  |.  FF45 F0       |INC [LOCAL.4]
005B94B8  |.  837D F0 06    |CMP [LOCAL.4],6
005B94BC  |.^ 75 EA         \JNZ SHORT REDitor.005B94A8
005B94BE  |.  8B45 FC       MOV EAX,[LOCAL.1]
005B94C1  |.  BA 5C955B00   MOV EDX,REDitor.005B955C                                           ;  UNICODE "The Key is Invalid!"
005B94C6  |.  E8 D5E8E4FF   CALL REDitor.00407DA0
005B94CB  |.  75 21         JNZ SHORT REDitor.005B94EE
005B94CD  |.  B8 90955B00   MOV EAX,REDitor.005B9590                                           ;  UNICODE "The program has been successfully registered to "
005B94D2  |.  E8 F9D8EDFF   CALL REDitor.00496DD0
005B94D7  |.  8D55 EC       LEA EDX,[LOCAL.5]
005B94DA  |.  8B45 FC       MOV EAX,[LOCAL.1]
005B94DD  |.  E8 56EFF4FF   CALL REDitor.00508438
005B94E2  |.  84C0          TEST AL,AL
005B94E4  |.  74 08         JE SHORT REDitor.005B94EE
005B94E6  |.  8D45 FC       LEA EAX,[LOCAL.1]
005B94E9  |.  E8 52F3FFFF   CALL REDitor.005B8840
005B94EE  |>  8D45 FC       LEA EAX,[LOCAL.1]
005B94F1  |.  BA 90955B00   MOV EDX,REDitor.005B9590                                           ;  UNICODE "The program has been successfully registered to "
005B94F6  |.  E8 89E1E4FF   CALL REDitor.00407684
005B94FB  |.  8D55 DC       LEA EDX,[LOCAL.9]
005B94FE  |.  8B45 F0       MOV EAX,[LOCAL.4]

Aqui en este salto (perdon por no haber quitado el analisis del modulo, me refiero a lo de [LOCAL.2]etc, si es importante lo quito para q observeis los registros, lo es?


005B9A11  |.  E8 BEF9FFFF   CALL REDitor.005B93D4
005B9A16  |.  83E0 7F       AND EAX,7F
005B9A19  |.  8945 F8       MOV [LOCAL.2],EAX
005B9A1C  |.  8D4D D8       LEA ECX,[LOCAL.10]
005B9A1F  |.  BA 01000000   MOV EDX,1
005B9A24  |.  8B45 F4       MOV EAX,[LOCAL.3]
005B9A27  |.  8B18          MOV EBX,DWORD PTR DS:[EAX]
005B9A29  |.  FF53 0C       CALL DWORD PTR DS:[EBX+C]
005B9A2C  |.  8B45 D8       MOV EAX,[LOCAL.10]
005B9A2F  |.  50            PUSH EAX
005B9A30  |.  8D45 D4       LEA EAX,[LOCAL.11]
005B9A33  |.  E8 34F4FFFF   CALL REDitor.005B8E6C
005B9A38  |.  8B45 D4       MOV EAX,[LOCAL.11]
005B9A3B  |.  5A            POP EDX
005B9A3C  |.  E8 C7FBFFFF   CALL REDitor.005B9608
005B9A41  |.  8945 F8       MOV [LOCAL.2],EAX
005B9A44  |.  FF4D F8       DEC [LOCAL.2]
005B9A47  |.  FF45 F8       INC [LOCAL.2]
005B9A4A  |.  FF4D F8       DEC [LOCAL.2]
005B9A4D  |.  FF4D F8       DEC [LOCAL.2]
005B9A50  |.  8345 F8 02    ADD [LOCAL.2],2
005B9A54  |.  68 6E010000   PUSH 16E                                                           ; /Timeout = 366. ms
005B9A59  |.  E8 1A2AE6FF   CALL <JMP.&kernel32.Sleep>                                         ; \Sleep
005B9A5E  |.  8B45 F4       MOV EAX,[LOCAL.3]
005B9A61  |.  E8 BABAE4FF   CALL REDitor.00405520
005B9A66  |.  8B45 F8       MOV EAX,[LOCAL.2]
005B9A69  |.  C1E0 02       SHL EAX,2
005B9A6C  |.  85C0          TEST EAX,EAX
005B9A6E      79 03         JNS SHORT REDitor.005B9A73
005B9A70  |.  83C0 03       ADD EAX,3
005B9A73  |>  C1F8 02       SAR EAX,2
005B9A76  |.  8945 F8       MOV [LOCAL.2],EAX
005B9A79  |.  33D2          XOR EDX,EDX
005B9A7B  |.  8B45 FC       MOV EAX,[LOCAL.1]
005B9A7E  |.  8B80 AC030000 MOV EAX,DWORD PTR DS:[EAX+3AC]
005B9A84  |.  E8 9B8BECFF   CALL REDitor.00482624
005B9A89  |.  8B45 F8       MOV EAX,[LOCAL.2]
005B9A8C  |.  2B45 F8       SUB EAX,[LOCAL.2]
005B9A8F  |.  0345 F8       ADD EAX,[LOCAL.2]
005B9A92  |.  83C0 04       ADD EAX,4
005B9A95  |.  83E8 02       SUB EAX,2
005B9A98  |.  83E8 02       SUB EAX,2
005B9A9B  |.  8945 F8       MOV [LOCAL.2],EAX
005B9A9E  |.  837D F8 00    CMP [LOCAL.2],0
005B9AA2      74 31         JE SHORT REDitor.005B9AD5   Este salto q esta cambiado es el que os dije que pasaba de decirme THE KEY IS INVALID A q reinicie el programa, y sigue igual
005B9AA4  |.  8D45 D0       LEA EAX,[LOCAL.12]
005B9AA7  |.  E8 94EDFFFF   CALL REDitor.005B8840
005B9AAC  |.  8B55 D0       MOV EDX,[LOCAL.12]
005B9AAF  |.  A1 D8D15D00   MOV EAX,DWORD PTR DS:[5DD1D8]
005B9AB4  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
005B9AB6  |.  8B80 8C030000 MOV EAX,DWORD PTR DS:[EAX+38C]
005B9ABC  |.  E8 936EEFFF   CALL REDitor.004B0954
005B9AC1  |.  A1 D8D15D00   MOV EAX,DWORD PTR DS:[5DD1D8]
005B9AC6  |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
005B9AC8  |.  8B10          MOV EDX,DWORD PTR DS:[EAX]
005B9ACA  |.  FF92 10010000 CALL DWORD PTR DS:[EDX+110]
005B9AD0  |.  E9 EF000000   JMP REDitor.005B9BC4
005B9AD5  |>  8D55 CC       LEA EDX,[LOCAL.13]
005B9AD8  |.  8B45 FC       MOV EAX,[LOCAL.1]
005B9ADB  |.  8B80 8C030000 MOV EAX,DWORD PTR DS:[EAX+38C]
005B9AE1  |.  E8 366EEFFF   CALL REDitor.004B091C
005B9AE6  |.  8B55 CC       MOV EDX,[LOCAL.13]
005B9AE9  |.  8B45 FC       MOV EAX,[LOCAL.1]
005B9AEC  |.  8B80 A0030000 MOV EAX,DWORD PTR DS:[EAX+3A0]
005B9AF2  |.  E8 5D6EEFFF   CALL REDitor.004B0954
005B9AF7  |.  8B45 FC       MOV EAX,[LOCAL.1]
005B9AFA  |.  8B80 A0030000 MOV EAX,DWORD PTR DS:[EAX+3A0]
005B9B00  |.  8B40 64       MOV EAX,DWORD PTR DS:[EAX+64]
005B9B03  |.  BA 080000FF   MOV EDX,FF000008
005B9B08  |.  E8 63FCE9FF   CALL REDitor.00459770
005B9B0D  |.  8B45 F8       MOV EAX,[LOCAL.2]
005B9B10  |.  2D 80000000   SUB EAX,80                                                         ;  Switch (cases 80..800)
005B9B15  |.  74 10         JE SHORT REDitor.005B9B27
005B9B17  |.  2D 80010000   SUB EAX,180
005B9B1C  |.  74 1E         JE SHORT REDitor.005B9B3C