Mensajes

Lo primero que debes de hacer es bajarte el Ollydbg, personalmente uso el OllyShadow...

Tambien bajate el RDG Packer Detector, esto es para ver con que esta compilado y si esta empacado...

Estas herramientas como muchas otras la encontras aqui...

http://foro.elhacker.net/ingenieria_inversa/herramientas-t183012.0.html

Pasate por aqui para saber un poco del tema:
http://foro.elhacker.net/ingenieria_inversa/taller_de_cracking_desde_cero_27julio2008_ultima_actualizacion-t180886.0.html

visita tambien www.ricardonarvaja.info

PD: Pasale el RDG Packer y decinos si esta empacado, porque ya te lo preguntamos y aun no nos dijiste nada...

Saludos

Si es asi como dice susanalic, es mas para practicar acabo de hacer un tute, es una boludez pero bueno...

Solo tenes que buscar el encabezado "BM", seleccionar el tamaño del bmp y guardarlo como .bmp, y bueno asi sigue....


Si hay varios bmps, como dijiste que tenias el dato del tamaño del bmp entonces buscalo en el editor hexa para encontrar el lugar donde esta...

http://www.savefile.com/files/1853549

Saludos

Que cosa modifica? el nombre de la barra de titulos? TeamViewer?

si con restuner lo puedes hacer, o con un editor hexadecimal buscando la cadena..

Pasale el RDGPacker aver si esta empaquetado

saludos

Pues lo podes tracear con OLLYDBG y ver que es lo que hace...
Tambien podes usar el FILEMON para ver los archivos al momento de ejecutarlo.
Al igual que REGMON para ver si te crea algo en el registro de windows al momento de ejecutarlo.

tambien podes usar REGSHOT creo se llamaba, haces una foto del sistema antes de ejecutar el virus, y despues de ejecutarlo haces otra foto, y despues lo compara y te saca los registros/files que leyo, escribio,etc...  Pero aqui tenes que ejecutar el virus asi que yo no lo haria.


Yo no lo haria, pero bueno si te manda tu jefe, bueno jeje...

Este es un tema para APUROMAFO, aver si el se presenta aqui y te puede hechar una mejor mano...

Saludos

Podes interceptar a la api SetWindowText que te pone el nombre en la barra de titulo de una ventana.

The SetWindowText function changes the text of the specified window's title bar (if it has one). If the specified window is a control, the text of the control is changed.

BOOL SetWindowText(

    HWND hWnd,   // handle of window or control
    LPCTSTR lpString    // address of string
   );   


Saludos

Editores tienes el ResHacker, el ResTuner hay varios...

Si quieres subelo a algun lado y pon el link de descarga...

Saludos

Hola Gracias..
Si esta muy bien, me parece como que te faltaron algunas imagenes, por ejemplo algunas direcciones que nombras la busco en las imagenes y no figuran, aunque si se entiende muy bien lo que explicas...
Sigue esribiendo....

Saludos
tena

Sé poner Breakpoints, pro no sé como ponerlo donde dices xD o como buscar "GetDlgItemTextA"

En la cmdbar como te dicen ahi abajo, poniendo tal cual "bp GetDlgItemTextA" sin las comillas, o directamente como haces para ir  a cualquier  direccion ctrl+g y ahi le pones GetDlgItemTextA y luego F2 para colocar el bp.

Para que no te detecte con la api IsDebuggerPresent podes usar el plugin OllyAdvanced, o manualmente cuando cargas el prog en el ollydbg ahi nomas te vas a la ventana del dump y haces ctrl+g  y escribis ebx+2 y cambias el 1 por un cero.

Saludos

No entiendo lo de que te salta el desinstalador, pero quisas te haya detectado y te saca eso para que se desinstale, nose, bueno..

Aun asi tienes la opcion de Atachear al proceso, el cual lo podes hacer ejecutando el progama ese, y luego te vas al ollydbg y de ahi a File>>Attach y elegis el proceso del programa que estas viendo.

En Ollydbg tambien puedes ver las referencias a las strings, clicleando en la ventana de codigo del ollydgb el boton derecho del mouse y eligiendo
Search for >> All referenced text strings, te salen todas las strings y para buscar la que queres nomas con el boton derecho del mouse y elegis Search for Text...

Proba poniendo un bp en GetDlgItemTextA, escribi un serial y dale a activar, si cae en el bp fijate en el buffer que ahi va a meter tu serial trucho, hace follow in dump ahi y marcalo, y ponele un bpm on access para seguirlo y ver que hace con el mismo...


En la imagen veo que estas en el mensaje de error, pues tenes que ver por arriba del codigo que es lo que te hace llegar ahi, tenes que fijarte en los saltos condicionales, por ejemplo justo ahi arriba veo un JLE, que significa que "salta si es menor o igual a", como no salto quiere decir que lo que compara es mayor y te saca el mensaje de error.

Bueno fijate y comenta como te fue...

Saludos
tena

No se puede decompilar C.

Se puede tener una aproximacion o traduccion mala...
Dicen que este plugin de IDA es bastante bueno, se llama HexRays.

http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/F-G-H-I-J-K/IDA%205.2/Hex-Rays.Decompiler.v1.0.for.DataRescue.IDA.Pro.Advanced.v5.2.zip

Lo que hace es traducir el codigo desensamblado a un pseudo C. No lo he probado asi que tu ya diras..

Saludos