Foro de elhacker.net

Programación => Ingeniería Inversa => Mensaje iniciado por: Pinkof en 29 Noviembre 2010, 13:50 pm



Título: [Ayuda] Themida Bypass Winlicence
Publicado por: Pinkof en 29 Noviembre 2010, 13:50 pm
Queria saber si alguien me puede ayudar o decir como hacer un bypass de HWID en themida version 2.1.x.x
Yo intente hacerlo como vi en varios tutos que dicen que tenes que parar en la comparacion de  cmp ECX,EAX y colocar 0 en el quinto seguimiento.. que aparece despues de 4 00000000 seguidos

Lo unico que logre hacer es que me aparescan estos carteles con o  sin la licencia que se necesita..

(http://img251.imageshack.us/img251/6681/sinttulo1ny.jpg) Habia mas pero los pase de largo me dio fiaca colocarlos jee XD

Si alguien me puede ayudar se lo agradescoo! =) salu2


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: apuromafo CLS en 29 Noviembre 2010, 14:39 pm
1)trial reset para que te dure mas dias y borres todo lo extraño
2) el bypass es para is_registred hay como 2 check

3) si tienen baneada aquella licencia, debe habilitarse otra parte mas  :P, las 2.1 aun no tienen del todo tutorial, pero encuentro que es mucha perdida de tiempo (dias) para un unpack funcional
4)no es un nivel facil, debes estudiar themida y winlicence para animarte a usar aquel programa.


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: Pinkof en 29 Noviembre 2010, 14:54 pm
Esos carteles me iban apareciendo a medida que iba probando las comparaciones de cada uno... en realidad el que me aparece al ejecutarlo solo es que mi hwid id es diferente. No se si me explico.

Como se cual es el valor de is_registred?


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: apuromafo CLS en 29 Noviembre 2010, 15:11 pm
Esos carteles me iban apareciendo a medida que iba probando las comparaciones de cada uno... en realidad el que me aparece al ejecutarlo solo es que mi hwid id es diferente. No se si me explico.

Como se cual es el valor de is_registred?
si has leido tutoriales, y no has estudiado la vm que tiene, no veras logica, pero en forma simple, para que bypasees ese dialogo debes hacer que el valor de la macro en winlicence diga que esta registrado los valores son 0 y 1

en forma de recuerdo envio este tutorial de un amigo de Crackslatinos
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1201-1300/1214-Winlicense%20HWID%202110%20por%20GUAN.rar

ahi hay un winlicence 2.1.xx


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: Pinkof en 29 Noviembre 2010, 15:18 pm
ese tutorial es el que lei y de ahi consegui sacar la info de esos carteles atraves de estos movientos en la comparaciones de ecx y eax

Citar
CMP ECX,EAX ROUTINE
1) 00000000
2) 00000000
3) 00000000
4) 00000000
5) mov ECX,EAX or mov EAX,ECX = Nothing
6) mov ECX,EAX or mov EAX,ECX = BANNED
7) mov ECX,EAX or mov EAX,ECX =License not expirable
8) mov ECX,EAX or mov EAX,ECX = Key Locked to a Specific machine.
9) mov ECX,EAX or mov EAX,ECX = Sorry,No more Instances allowed to run
10)mov ECX,EAX or mov EAX,ECX = Yoe need to launch first the application on server
11)mov ECX,EAX or mov EAX,ECX = Your license key is corrupted

ETC.

Quizas resulte interesante lo que encontre quizas no :P y tambien me di cuenta que antes de que arroje el aviso del cartel pones en eax o ecx el valor a uno
y sigue decompilando el programa pero al final crashea XD jeje pero seguire investigando para ver si encuentro algun otro resultado XD


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: apuromafo CLS en 29 Noviembre 2010, 18:11 pm
si, pero todos esos comandos vienen de un vm, o maquina virtual,
existen script para bypasear, pero hay que recordar el crc, y el driver

te sugiero que revises el tutorial de quoseyo, y el que te comparti,
ademas hay muchos mas escritos, pero el tema en si es que no hay script magico ni unpacker genial, el tema es que si sabes desempacar una aplicacion, puedes hacerlo tambien en estos packers.

yo cuando no puedeo desempacar lo inlineo, y la tecnica de bypasear viene de un inline, cuando recien escribe en memoria la comparacion..
supongo ya la leiste. :)


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: Pinkof en 29 Noviembre 2010, 19:28 pm
no no lei sobre eso inline me podrias ayudar por favor?

Donde esta el tutorial de quoseogo no lo encontre en ninguna parte.. :(

Gracias Por responder:D


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: Pinkof en 30 Noviembre 2010, 23:38 pm
alguien me puede ayudar en esto por favor :(


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: apuromafo CLS en 2 Diciembre 2010, 18:20 pm
quoseyo esta en tuts4you. tu posteaste ahi. hay un thread de themida.

con respecto a winlicence, es complicado. yo lo hice para quitar un troyano, pero luego desempacado analizado esta sacado..
no espero compartir por falta de tiempo
lo que hace guan es un inline.. inline, significa que no desempacas para parchar o hacer algo, mantienes el mismo exe y agregas codigo de tu parte para que logres el objetivo..

ricardonarvaja.info es el comienzo..lo demas se aprende en el camino :)


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: Pinkof en 6 Diciembre 2010, 05:06 am
es posible transformar un scrip que hace el bypass dentro del ollydbg para evitar la deteccion de hwid a un Loader. Es decir yo ejecuto el Loader.exe y este a su vez ejecuta el programa y le hace los cambios respectivos para hacer el bypass al HWID

Es posible eso de hacer del script .txt un loader.exe?
Si se puede me dirian como hacerlo?


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: MCKSys Argentina en 7 Diciembre 2010, 17:54 pm
Buscando aca: http://ricardonarvaja.info/WEB/buscador.php (ingresando "debugger") vas a encontrar la forma de hacer un loader-debugger, que es lo que necesitas para imitar el comportamiento de un script en olly...

Saludos!


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: Pinkof en 20 Diciembre 2010, 00:25 am
Lo intente con el tuto de ricardo pero no tuve exito .... alguien me puede dar una mano?.


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: warofmu en 16 Diciembre 2012, 00:53 am
Hola Pink! Yo pude hacer correr los dataserver y gameserver de MC. pero no logro como hacer una sección con lordpe para que me salte el error de file corrupted asi puedo parchar el CRC para que las aplicaciones corran independientes de olly.
si te interesa informacion agregame:
skype: warofmu
msn: warofmu@hotmail.com


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: Masterx2010 en 18 Diciembre 2012, 22:18 pm
hola amigo saludos... aun no e logrado crakear un software con proteccion themida pero aqui te dejo lo que si han logrado hacerlo, y son de cls "cracks latinos".. muy bueno por cierto... [Delphi] + [Script] por Nox .rar]
1440-Solu Unpacking UnpackMe [Themida v2.1.8] [Delphi] + [Script] por Nox .rar (http://1440-Solu Unpacking UnpackMe [Themida v2.1.8)
 + [Script]By_NOX.zip]1467-UnPacking Delldell UnPackME [Themida v.2.2.x + ZProtect] + [Script]By_NOX.zip (http://1467-UnPacking Delldell UnPackME [Themida v.2.2.x + ZProtect)
1465-UnPacking_Delldell UnPackME_Themida v.2.2.x + ZProtect_By_InDuLgEo.rar (http://1465-UnPacking_Delldell UnPackME_Themida v.2.2.x + ZProtect_By_InDuLgEo.rar)

http://www.ricardonarvaja.info/WEB/buscador.php (http://www.ricardonarvaja.info/WEB/buscador.php) anotas themida te recomiendo esos tres es muy bueno... yo por falta de tiempo no e podido poner a crakearlo pero de seguro ya que estoy en vacaciones me sentare un rato a verlo... la verdad es fuerte el themida pero no imposoble de crakear, aqui te dejo un olly que me dio unos de mis amigos de cls http://www.mediafire.com/?i1javlo4cha42lr (http://www.mediafire.com/?i1javlo4cha42lr) descargalo y la clave es.... cls ok suerte amigo y feliz navidad


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: apuromafo CLS en 20 Diciembre 2012, 19:33 pm
pink, yo bien te he visto en foros de tuts4you , supongo que pasado el tiempo habras encontrado ya las formas de encontrar y descifrar el RISC, o bien encontrar rutinas para darle bypass

el tema no es el bypass en si, sino la logica que debe hacer el programa

este es el ultimo tut de LCF
http://forum.tuts4you.com/topic/30172-themida-winlicense-hwid-cisc-risc-find-bypass-inline-tutorial/


saludos Apuromafo


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: Master_crack1 en 22 Diciembre 2012, 22:34 pm
te recomiendo el dup 2.0 por si no has podido crear el loader


Título: Re: [Ayuda] Themida Bypass Winlicence
Publicado por: apuromafo CLS en 23 Diciembre 2012, 08:54 am
hoy cree un inline basandome en la tecnica de LCF, en un themida/winlicence 2.1.X  (creo que es 2.1.6), asi que te puedo confirmar, no es temas de loaders(cambar el valor de un registro en memoria)

es lograr que con una licencia valida, o falseada , logres el hiw, luego de encontrar los valores, parchar el crc y luego olvidarse de parchar..hasta cuando no se nos ocurra cambiar ciertos valores especificos en el pc ,que haga cambiar por ejemplo la direccion de rva..de la maquina virtual(si cambia con el inline)

ahora bien los nuevos winlincence vienen con truco casi antidump, pero luego de unpacked se pueden optimizar  (dumpeds de 100mb en 10mb) optimizados...

saludos Apuromafo