Es lo mismo para todo, primero necesitas saber QUE quieres encontrar, a partir de ahí comienzas a buscar, encontrar indicios, etc; con las bases que fueron sentadas en la introducción al cracking desde 0.

La gran mayoría de tutos los puedes encontrar aquí

http://ricardonarvaja.info/WEB/buscador.php

Haces la consulta y listo, lo malo que la gran mayoría no pone el lenguaje que está hecho el target, así que hay muchos tuts de C/C++ pero no están especificados.

Al menos yo si trato de especificar lo que hago, aquí te dejo el link, pero también lo puedes encontrar en el buscador de ricardo.

http://www.noxsoft.net/category/reversing/crackmes/c-cplusplus/


EDIT:
Me parece genial que te suscribas a la lista de crackslatinos, pero te hago notar que el ambiente hace unos meses (menos creo) no está tan bien que digamos, siempre aparecen personas que hacen preguntas que con una simple búsqueda en google o en la web de ricardo, foros en ingles lo puedes encontrar rápidamente, mi recomendación es que si vas a preguntar algo, es porque has hecho un avance (demuéstralo en el hilo) y especificar la parte dónde deseas la ayuda.


Saludos,
Nox.

Los tutoriales de Ricnar te dan un BASE. No existe una metodología para crackear, o como tú mencionas un patrón, cada  vez que analices verás un mundo nuevo, y aunque muchos crackme de bajo nivel se parecen, cuando vayas avanzado te encontrarás con nuevas cosas.

Lo que pretende la introducción al cracking desde 0 es sentar la base, para que tú luego con eso y tu imaginación pueden hacer lo que deseen.

Sobre el PeID, está su web oficial http://www.peid.info/ (parece que está caído, habrá que esperar). Esta tool es un detector de packers y compilaciones, también tiene opciones de encontrar OEP "genéricamente" y algoritmos criptográficos, si no me equivoco también permite la codificación de plugins, el proyecto fue paralizado, y hasta ahora no piensan volver a retomarlo.

Saludos,
Nox.

El problema es que ni tú tampoco tendrías un serial válido o un algoritmo si es que deseas comercializar el producto (viéndolo de ese punto), ya que usas rand, tú no sabes la semilla tal, y no puedes generar key válidos para tus clientes.


Saludos,
Nox.

Si no mal recuerdo, el Olly crea un *.bak en el PATH donde se guardan los UDD, también tienes la opción PATCHES, del Olly el botón "/" si no has borrado los UDD, ahí guarda los parches que has hecho, puedes activar y desactivarlos como guste.

Recuerda que se guardan los parches, del exe que has modificado, no del que se ha creado por la modificación.

Como buena costumbre, si vas a modificar algún file, guarda siempre uno de backup, para evitar cualquier inconveniente.

Saludos,
Nox.

Si usa un rand, al menos en teoría si se puede sacar un serial, tan solo es saber de dónde toma la semilla y luego hacer las operaciones indicadas.

Saludos,
Nox.

Yo hasta ahora tengo mi Olly Original, con el único parche que le hace el StrongOD al Class del Olly, nada más, es el único plugin que uso para proteger.

Con ese Olly, he logrado correr Themida (ver. para mortales) VMProtect, AsProtect, etc....


Lo que cambia en el curso de Ricardo son los Plugin que usa para protegerse de los método antidebugg, etc. Es difícil perderse la verdad, está bien explicado.

Saludos.

The Swash, hizo un paper sobre la tabla TLS, y sí se ejecuta antes de que llegue al OEP.


pd: Malformación en el Formato PE, si es que el Olly no está preparado para soportar una Struct PE no standar, no lo abrirá, todo lo digo teóricamente claro está , aunque... creo que si lo soportará... sería cuestión de probar.


Saludos,
Nox.

mucho mejor el hardware*, typo!


Pues para la ing. inversa, es necesario que el hardware esté lo mejor emulado posible, y para eso VMWare es bueno.

Alguna idea de que hace rtcAnsiValueBstr?


Según lo que vi cuando le pasaba un carácter 41h = 'A'
me devolvía en EAX = 41, pero esta vez el valor ocupa dos bytes como sigue -->

Le pasaron como parámetro 0192h y me devolvió 83h

EAX = [ADDR] = 192h

push eax
call rtcAnsiValueBstr

EAX = 83h

Alguien sabe el por qué?

Saludos,
Nox.

De poco que sé, VMWare virtualiza mucho el hardware, además tiene funciones como el drag and drop y el snapshot que vienen incluidas en el de paga (en VirtualBox no las tiene incluidas).

Saludos,
Nox.