Autor
página:www.soccer-trainer.es
Descarga:http://www.mediafire.com/?sjncwg12u933xyr
versión:3.03
objetivo:activar el programa
autor:Und3r
Imagen de carátula:
Herramientas:
-Ollydbg
-RDG Packer detector
-Firewall
Citar
*Se necesita por obligación un firewall en que notifique cada vez que un programa intente tener acceso a internet
-Debemos tener configurado nuestro firewall para que nos notifique en cada momento, en este tutorial usaré keiro firewall (algo antiguo) compatible con windows xp
(con windows 7 no arranca)
-Realizamos un análisis con RDG Packer detector y nos aparece lo siguiente:
Solo comenta que se hace referencia al CD-ROM (esto se debe a que en una alerta del programa aparece tal string pero esta no afecta en nada. Por lo que en resumen está limpio
-cargamos el programa desde ollydbg
-Damos F9 o Run y nos aparece la alerta del firewall
-si notamos la ventana que crea el programa:
notaremos que ya ha notificado que no se puede conectar ha Internet, por lo que no se alcanza poner "Permitir" en el firewall ya que no da tiempo
-Modificamos nuestro firewall's para que permita el acceso a Internet automáticamente a Soccer Trainer
y nos quedará:
por lo que si reiniciamos ollydebugger (Control+F2) si le damos RUN ahora nos aparecerá lo siguiente:
-Ahora volveremos a modificar nuestro firewall para que nos notifique como al comienzo para ver si esta ves el programa nos da tiempo para hacer algo:
-Probamos con un correo cualquiera:
notaremos que el programa intenta nuevamente conectarse a Internet:
sin elegir una opción del firewall nos dirigimos al ollydbg y presionamos F12 o Pause
nos aparecerá el siguiente mensaje por parte de ollydbg que si le damos a SI nos volverá a aparecer en los siguientes 5 segundos y si presionamos NO ollydbg dejará de debuggear el proceso:
esto en resumen nos trata de decir que el programa no está respondiendo,
pero esto se debe a que el que está interviniendo es el firewall ya que no hemos tomado ninguna opción este mantiene detenido al programa
por eso ahora SI presionamos permitir a todas las alertas que nos muestre el firewall:
-una vez permitidas todas las conexiones nos dirigimos al stack o pila:
notaremos que retornará a una dll (Winsock, encargada de realizar la conexión)
pero nosotros debemos encontrar el momento en donde retorna al programa ya con información obtenida es decir si el email es válido o no
si bajamos notaremos más retornos pero ninguno al programa:
*hay un solo retorno, pero este no es llamativo ya que debajo de el no se han pusheado nada interesante
pero si seguimos bajando notaremos lo siguiente:
-dirijámonos en del disambler (Control+G):
-pongamos un BP en el:
-si seguimos traseando veremos un salto que en un op codes más nos lleva a un call
-si lo ejecutamos nos aparecerá lo siguiente:
cerrándonos el programa sin ningún aviso:
-Realicemos los pasos de nuevo esta ves dejando el firewall habilitado debido a que ya tenemos el punto de retorno con un bp:
-le damos F9 y para en el BP, seguimos hasta el salto y luego lo nopeamos guardamos los cambios
(de aquí en adelante ya tenemos registrado el programa):
-seguimos traceando y notamos que está pushando datos a la pila y luego nos detenemos en un call:
si miramos la pila notaremos lo siguiente:
notaremos que está guardando algo en el registro, lo más probable es que sea el código de activación
-si ahora le damos F9 o Run veremos que nuestro programa corre sin limitaciones:
-Comprobemos si agrego la ruta que vimos cuando traceabamos,vamos a la ruta que agregó el programa:
-efectivamente está creada, si la borramos:
cerramos el programa y lo iniciamos nuevamente notaremos que no está registrado:
por lo que para que esté registrado, se debe crear de nuevo el registro que acabamos de borrar: para eso creamos un documento de texto y agregamos lo siguiente:
guardamos los cambios y renombramos el documento por .reg
.txt a .reg,ahora si lo abrimos con privilegios de administrador si todo ha salido bien nos mostrará lo siguiente:
una ves esto el programa está nuevamente registrado
por lo que hemos encontrado la forma de registro
en resumen tenemos dos formas:
1)agregando el .reg al regedit:
Código:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\System]
"Elctca"="iufdsdfi"
2)ejecutando el parche soccer trainer modificado (salto nopeado)
Descargar parche:
http://www.mediafire.com/?bddmxc7s512753z
En línea
