Gracias AmeRiK@nO , si logro vencer las protecciones seguro va un tute.
HackShield es una proteccion para juegos online, sirve para proteger el ejecutable de modificaciones o exploits que se puedan hacer, es igual que punkbuster o gamespy.

Lo de GetEnviromentVariableA, decia que no tenia esa api, y no puedo llegar al mismo lugar al que llegan solid o tena en sus tutes.

Voy a ver si encuentro esa secuencia de apis, me aprece haber visto algo parecido en algun lugar.

Saludos.

Bueno gente, gracias a toso, Shadow, tena y sobretodo  a AmeRiK@nO que e tuvo una paciencia extraordinaria!!! jejeje.

El tema es asi, el programa, esta protegido co hackshield, y algunas otras herramientas antidebugginq ue todavía no descubri, como el tamaño del ejecutable, el tiempo de ejecucion y demas, por eso no me arranca. El arrmaccess no lo necesita ya que no necesita estar reegistrado o no.

Vere sipuedo sacarle esta proteccion que tiene de no poder cargar unas variables ya que me detecta y se sale.

Por lo demas, con el tema de armadillo esta todo resuelto, lo despakete bien, dumpee bien la IAT y lka acomode con ARMLine.

Muchachos gracias por toda la ayuda, ya venci mi primer armadillo!!!! jjejeje saludos a todos.

Gracias Shadow, voy a intentar con esa dll que me dices, pero me parece que lo he dumpeado mal, porque el programa cargado en olly arranca y empieza a cargar o extraer, no se bien como explicarlo, unas strings de unos archivos del programa y el programa se sale automaticamente.

Voy a revisar bien, sino, es el maldito programa que no quiere andar sin armadillo.

tena el jmp gtc, va arriva de todo para volver a poner los bp, pero el error estaba en el salto magico, eran diferentes.

Ya lo he podido dumpear y demas, pero ahora el problema esta en que la aplicacion se cierra inesperadamente, pero no tengo lo de GetEnvironmentVariableA, asique no se como seguir. Alguna idea???

Pues efectivamente parece ser GetTickCount, ya que si no lo evito, me escribe por ejemplo

kernel32.FreeEnvironmentStringsW

cuando tendria que ser

ernel32.FreeEnvironmentStringsA

ahora tengo un problerma algo grave, no me funciona el script para arreglar la IAT, este no pone a 0 al flag Z, pero si el flacg C, les dejo el escript para ver si descubren que esta mal.

gtc:

bphws 019DCF32, "x"  //GetTickCount
bphws 00927D5A , "x"   //oep
bphws 019DCCEF, "x"  //MAGICO


eob dale
run

dale:
cmp eip, 019FCF32
je repara
cmp eip, 00927D5A
je termina
cmp eip, 019FCCEF
je magico



repara:

mov !CF,1
jmp gtc

magico:
mov !ZF,1
jmp gtc

termina:
ret


Saludos y gracias.

Gracias Shadow, ya me parecia que no podia quedar asi, estoy intentando con el gettickcount, pero el maldito script no quiere andar como se debe, o no me ordena la IAT, es como si no pusiera a 1 a z.

Saludos.

rextor, me supongo que cuando dices "la dll externa del RDG me detecta Code Virtualizer" querras decir que una dll de tu programa tiene code virtualizer.

Busca en google "code virtualizer unpack" y tendras toda la info que neccesitas.

Gracias tena por la respuesta.

Ahora que lo dices, he puesto ams atencion y me di cuanta de algo, les dejo la imagen.



Si se fijan bien, entre las instrucciones del kernel, tengo metidas las de ntdll, es esto normal??? mientrastanto me pongo a ver bien los de GetTickCount haber si es eso lo que me la desordena.

Saludos y gracias,

He estado siguiendo el tutorial de AbsshA, llego a la pare que el ejecutable no arranca, pero no puedo llegar a la misma sección que el llega, osea no puedo modificarlo para que arranque si o si.

Me he fijado este nuevo dump que hice y la IAT esta desordenada yu con entradas falsas, cosa que en mi dumpoeado original no. Por eso no creo que GetTickCount este molestando. Alguna otra idea de lo que podria llegar a ser???

Bueno gente les comento que pude con el maldito armadillo!!!!!!

Estoy contento jejeje!!!!

Pude encontrar el salto magino que escribia los valores buenos y malos en la IAT, aplique el script de Solid y pude quedar en el OEP con la IAT reparada.

Le aplique el imprec y repare el dumpeado.

Le arregle el header y lsito.

Ahora tengo un problema. el ejecutable me da error de

Microsoft C++ Runtime Library.

r6002
-Floating point suport not loaded.

Que podra ser??

EDITO:

Me he dado cuenta de dos cosas, el archivo dumpeado y desempacado, esta packetado con molebox 2.57, porque cuando lo cargo en olly me dice que esta protegido, y el RDG me tira que esta protegido con ese molebox 2.5.7.

Les agradeceria si le echan un vistazo y me dicen si es verdad lo que me dice el RDG o es que no le saque el armadillo como se debia, aunque me parece que si.

Les dejo el archivo. Gracias y saludos.

http://rapidshare.com/files/162917138/Escritorio.rar.html

Shadow, te comento que la IAT esta media jodida, ya que en la parte de importaciones del kernell esta desordenada, osea tengo 1 entrada bien, 1 mal, 2 bien, 3 mal, etc.....

AmeRiK@nO, gracias por la ayuda que me has prestado, la verdad impagable, intentaste con un olly limipo??, sin plugins ni nada??, sino me temo que tendras que formatear. A menos que alguien sepa bien que le esta pasando.

Gracias AmeRiK@nO, entonces solo me queda buscar el salto magico y aplicar el script, cuando llege a casa me pongo a buscarlo. gracias

Saludos.

Mientras que Shadow responde la pregunta de  AmeRiK@nO, posteo mi duda.

Este es el principio de mi posible IAT



Y este es el fin????  en 00985658  00000000




Porque como tengo mas instrucciones del tipo SFrame.0097F3D6, quiza siga mas para abajo.

Saludos y mil gracias por la ayuda

Una vez Dumpeado, con el ImpRec, no me encuentra las importaciones, osea la IAT debe estar echa pelota, ahora me surgue una duda,

este es mi OEP



y esta es la sección a donde me lleva el jump



Mi pregunta es, cual call es la que tengo que seguir en el dump para poner el HBP on write???