Crackeando Wondershare Time Freeze

Nombre:Wondershare Time Freeze
Página web:www.wondershare.com
Descarga:http://www.wondershare.com/pro/time-freeze.html
Versión:2.0.3
Autor del tutorial:UND3R

I-Inspeccionando el programa:
Una vez instalado el programa, iniciamos el programa y veremos lo siguiente:




Si introducimos un mail y una contraseña, nos aparecerá el siguiente mensaje:

*En mi caso e-mail: UND3R@CRACK.COM Registration code: TUTORIAL


II-Usando OllyDBG:
Cargamos el programa OllyDBG y veremos el siguiente Entry Point


Si buscamos referencias de textos y buscamos REGISTERED nos encontraremos con lo siguiente:



Hacemos doble clic al texto encontrado:


Si subimos un poco encontraremos una serie de JMP'S SHORT pero ninguno interesante, hasta que encontraremos el siguiente salto que podría ser la bifurcación entre un serial válido y uno No válido:



Intentemos llenar con NOP (Not Operand):


Lo más probable es que sea el punto de bifurcación correcto, pero intentemos ver que realiza el programa para registrarlo. Colocamos un BP a continuación:


Entremos a la call 00426C3A:



Veremos la siguiente API GetSystemDirectoryW, esta API se encarga de devolver en el búfer la ruta de SYSTEM32:


Lleguemos hasta ella:


Si vemos en el STACK, podremos dirigirnos al parámetro buffer (Follow in Dump):


Si pasamos la CALL con F8 veremos la ruta en el buffer:


Si seguimos traceando llegaremos hasta la siguiente string, lo más probable es que se concatenará con la ruta de SYSTEM32:


Llegamos hasta la siguiente instrucción:


Si miramos los registros de propósito general, veremos que [EAX] y [ECX] apuntan
a una archivo con extensión.acy:


Si seguimos traceando llegaremos hasta la API CreateFileW, encargada de crear o abrir un objeto:



Si vemos en el dump veremos que el parámetro FileName apunta a la concatenación anterior realizada por el programa:


Ahora si presionamos F9, nos aparecerá el siguiente mensaje:


Intentemos ver el contenido del archivo creado por el programa, nos vamos a la ruta:



Lo abrimos con NOTEPAD y veremos lo siguiente:


Si movemos la barra de desplazamiento de ventana hacia la izquierda notaremos los siguientes datos:


Si nos vamos a REGISTER veremos lo siguiente:


Si borramos el archivo mkdw48.acy y reiniciamos el programa veremos que volvemos a tener el programa como NO registrado:

de nada mais vc teim que ficar aqui em elhacker.net eu poço ayudar a vc igual que toda a genti de aqui, si vc precisa mais da minha ayuda eu nao teim neum problema vc e benvenido aqui 

me quedo en la parte despues de:

Entremos a la call 00426C3A:

Luego al querer ver lo del GetSystemDirectoryW no se como verlo en el stack. cuando presiono f8 luego de crear un nuevo punto de origen en la parte de getsystemdirectoryw me sale error. algo de permisos. y me manda a otro modulo.

si no hago los pasos de "Entremos a la call 00426C3A:" y lo que sigue, se logra crear el archivo .sys para activar el programa

cuando presiono f7 al seleccionar el call me manda a otro parte que no es la correcta.
para ir a la direccion que indica el call presiono la tecla CTRL y la tecla D. Luego en el cuadro que sale coloco la direccion que indica.

luego sigo con lo de el problema de permisos en la parte de ver GetSystemDirectoryW.


seria bueno si pudieras hacer un videotutorial.

gracias por la pronta respuesta

alguien tiene el tutorial con imagenes?