Mensajes

.....a pesar de lo que has señalado (ya que tengo activado la funcion mostrar archivos ocultos) no he podido visualizar aun el crackme parcheado de nuestro amigo x4uth.....

http://www.freeuploader.com/view.php/151791.rar
ahi ta el crackme sin attributos, esto se hace en el cmd 

Código [Seleccionar] Expandir

attrib CrackMex4.exe -H -S -R -A

aunque si tienes puesto "mostrar todos los archivos" y no tienes lo de "ocultar archivos del sistema" debes verlo =, yo me entere leyendolo aca despues que estaba oculto xk ni me habia fijado, como no tiene icono no sale ni semitrasparente

saludos

hombre tena el problema de hacerlo con ese process parcher es que no sabes cuando va a tardar en cargar, eso puede variar dependiendo de la velocidad del pc de cada uno, ese debe ser mi caso porque a mi no funciona ese de tu tuto, de cualquier manera yo lo hize así porque por alguna razon no me funciona despues de desempacar pero ya si lo tienes desempacado funcionando bien pos como que no es necesario el loader.

saludos

.

tuto rapido:

el PEiD nos dice que esta empacado con "PECompact 2.x -> Jeremy Collake", le pongo algunos plugins de Anti-AntiDebug a mi olly, uso el metodo del HB en el stack cuando guarda los registros (en 479EC2   PUSH EBP) para llegar al OEP
paso las exepciones y caigo en
479F52  JMP NEAR EAX
ese es el salto final del packer, dando F8 llegamos al OEP, ahi se puede dumpear y arreglar la IAT, la IAT no me dio problemas pero aun asi me dio error despues.
Como soy muy vago yo y ya teniendo el OEP no voy a complicarme... voy a trabajar ahi mismo, busco las apis que trabajan con la fecha que usa el programa y se deduce facilmente q el salto decisivo es  470A69   JE 470CAF, se soluciona cambiadolo por un JMP  470CAF
como estoy trabajando con el programa packado lo ideal seria hacer un loader pero en este caso esa rutina se ejecuta al iniciar el programa asi que no me vale con un programa externo, miro que el salto final del packer esta ya en el codigo antes de ejecutar asi que voy a utilizar el propio packer como loader
cambio el   JMP NEAR EAX por
JMP 479F76 (xk me fije que hay unos bytes abajo q si cambian)
para agregar ahi mi injerto
luego en 479F76

479F76   MOV DWORD PTR DS:[0470A69h],0241E9h //cambia el JE por JMP
479F80   JMP NEAR EAX //salta al OEP

pongo el año 2009, pruebo y todo OK , crackeado

http://www.freeuploader.com/view.php/150483.rar


saludos

el p-code es una forma de compilar vb

con el olly se puede hacer todo

10 dias 0 soluciones..

como vais?

bueno ese ya esta mas feo, pero = ahi se tiene que descifrar el mismo

Buenas.. Alguien sabe como descifrar javascript ??

archivo: ejemplo.html

Código [Seleccionar] Expandir

<html>
      <head>
          <script language="javascript" src="scriptEncriptado.js">
      </head>
      <body>
      </body>
</html>

archivo: scriptEncriptado.js

Código [Seleccionar] Expandir

l1l=document.all;var naa=true;ll1=document.layers;lll=window.sidebar;naa=(!(l1l&&ll1)&&!(!l1l&&!ll1&&!lll));O000=new Array();O000[0]='nspets
etc, etc, etc, y muchismo mas etc de codigo cifrado.

¿Como se puede descifrar ?? por lo q' estuve investigando, esta cifrado con un programa que se llama "html guardian"
lo que hice fue un dump de la memoria del IE cuando tenia cargada la pagina, pero no aparecio nada , mas que cosas del IE y algunas cosas de html. pero nada de java descifrado.
Lo que mas me asusta, es que no encuentro la rutina que descifra el javascript. O sea, es re tonto el html y es un solo archivo de javascript. :S :S
Gracias.

esque eso no esta cifrado, esta "ofuscado" lo que hace es cambiar los nombres de  las variables y funciones por nombres con L, 1 y O, 0 pues estas letras son bastante parecidas, esto hace que el codigo sea mas dificil de entender... No se si abra algun "desofuscador" para eso pero vamos que = se puede arreglar a mano