elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Ayuda a quitar armadillo 		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda a quitar armadillo  (Leído 19,635 veces)
Incognitum-x

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Ayuda a quitar armadillo
« en: 22 Febrero 2008, 18:11 pm »
Pues he estado leyendo manuales  del foro e informandome sobre el tema pero no consigo aclararme el como hacer para quitar la proteccion.

Analizando con el armFp:
Enable Memory-Patching Protections
!- <Backup Key Options>
Variable Backup Keys
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Store Environment Vars Externally
?- Signature 46941D80 11-07-2007

lo primero que estoy buscando es el call emcriptador pero lo que encuentro no se le  parece en nada a los manuales que estoy leyendo si alguien me puede echar una mano lo agradezco y perdonar la torpeza pero no se mucho sobre el tema.

El programa en cuestion lo dejo adjunto ademas de una foto para ver si lo que hago es correcto, por si alguien me quiere ayudar.

Un saludo y gracias de ante mano.


http://rapidshare.com/files/94001905/nody.zip.html
« Última modificación: 22 Febrero 2008, 18:24 pm por Incognitum-x » En línea
Incognitum-x

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Re: Ayuda a quitar armadillo
« Respuesta #1 en: 22 Febrero 2008, 19:49 pm »
para mayor dificultad me doy cuenta que dependiendo el analizador que le pase al programa me dice que esta comprimido con diferentes programas incluso me ha llegado a decir que esta comprimido con 3. el blowfish el crc32 y el tea
En línea
tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: Ayuda a quitar armadillo
« Respuesta #2 en: 22 Febrero 2008, 21:23 pm »
es un armadillo con todas sus armas:
<------- 22-02-2008 17:54:32 ------->
D:\Noddy 3.4.exe
!- Protected Armadillo
Protection system (Basic)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
No Registry Keys at All
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
Store Environment Vars Externally
Disable Monitoring Thread
Use eSellerate Edition Keys
Don't Fall Back to Stand-Alone Mode
!- Version 4.48
En línea
tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: Ayuda a quitar armadillo
« Respuesta #3 en: 22 Febrero 2008, 21:58 pm »
Bajate este tute de NCR y Marcianoi que esta muy bueno

http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/601-700/657-Armadillo%20v4.40%20CopyMemII%20DebugBlocker%20Import%20Table%20Elimination%20por%20NCR%20y%20marciano.rar

0044EF50   CALL Noddy_3_.0044F2A0   <==descifra
0044F21B   CALL Noddy_3_.0044F2A0   <==cifra

Saludos
tena
En línea
tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: Ayuda a quitar armadillo
« Respuesta #4 en: 22 Febrero 2008, 23:49 pm »
Este es el oep

00412FA0  PUSH EBP
00412FA1  MOV EBP,ESP

y no tiene iat scramble

0041C544  77D1F652  USER32.CallWindowProcA
0041C548  77D2D9B8  USER32.ChildWindowFromPoint
0041C54C  77D2935C  USER32.CopyIcon
0041C550  77D1D4FE  USER32.DefWindowProcA
0041C554  00BA0F10
0041C558  77D1F797  USER32.EnableMenuItem
0041C55C  77D1B62D  USER32.EndPaint
0041C560  77D55279  USER32.EnumPropsA
0041C564  77D1C267  USER32.FillRect
0041C568  77D1D668  USER32.GetActiveWindow

Suerte
En línea
Incognitum-x

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Re: Ayuda a quitar armadillo
« Respuesta #5 en: 23 Febrero 2008, 00:58 am »
Lo primero muchas gracias por tu aporte y atencion.

Bueno pues creo que lo hize bien , ahora ya no tiene el armadillo o eso creo yo
he vuelto a  analizar el programa  con este analizador: RDG packet detector.

por un lado me dice que esta compilado en powerbasic/cc 3.0 x y por otro lado veo que aun me pone que es posible que este protegido con armadillo heuristica.

No se seguire de nuevo el manual , de todas formas dejo aqui mi "avance" por si quieres echarle un vistazo , muchas gracias por tu tiempo.

http://rapidshare.com/files/94099368/semicracking.rar.html
« Última modificación: 23 Febrero 2008, 01:04 am por Incognitum-x » En línea
tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: Ayuda a quitar armadillo
« Respuesta #6 en: 23 Febrero 2008, 03:15 am »
Funciona perfecto y en un solo proceso.

Felicitaciones

tena
En línea
Incognitum-x

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Re: Ayuda a quitar armadillo
« Respuesta #7 en: 23 Febrero 2008, 15:30 pm »
Hola Tena te sigo molestando , mira el programa como te dije sigue emcriptado,

te paso el codigo cifrado

8B4DFC8B51048955B8C745BC2037EFC6C745C0200000008B45C08B4DC083E901894DC085C076558B55C4C1E2040355E88B45C40345BC33D08B4DC4C1E905034DEC33D18B45B82BC28945B88B4DB8C1E104034DF88B55B80355BC33CA8B45B8C1E8050345F033C88B55C42BD18955C48B45BC054786C8618945BCEB9B8B4DFC8B55C489118B45FC83C0048945FC8B4DFC8B55B889118B45FC83C0048945FC837D14007D0C8B4DC4894DF08B55B88955ECE937FFFFFF8BE55DC3

este pedazo de codigo esta cifrado con el blowfish, como podemos hacer para desemcriptarlo??
En línea
solidcls

Desconectado Desconectado

Mensajes: 72


Ver Perfil
Re: Ayuda a quitar armadillo
« Respuesta #8 en: 24 Febrero 2008, 03:24 am »
El programita ya esta desempacado, como dijo Tena, yo tambien lo baje y lo revise. yo lo habia hecho y te lo estaba por enviar, pero bueno, ya lo tenes resuelto. el tuyo esta perfecto.

solid.
En línea
Solid [CrAcKsLaTiNoS]
Incognitum-x

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Re: Ayuda a quitar armadillo
« Respuesta #9 en: 24 Febrero 2008, 13:32 pm »
gracias solidcls por haverte preocupado en mirar el programa e incluso con la intencion de mandarmelo, pero creo y corregirme si me equivoco que el programa sigue codificado es verdad que ya no tien el armadillo y que puedes cambiar botones y demas pero hay una parte de el que sigue criptad con el blowfisth como dije antes , lo se por dos cosas una de ellas es por los analizadores y la segunda es que en el programa tien que haber unas instrucciones que nesesito saber y eso no aparece. ademas si busco el serial del progrma no aparece eso es otra cosa por la cual creo que el programa no esta totalmente desprotegido.

Un saludo y gracias
En línea
Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda Unpack ¿HWID? Armadillo ¿2.2?
Ingeniería Inversa 		x3NiX 3 6,296 Último mensaje 18 Marzo 2011, 16:20 pm
por apuromafo CLS
[?] Ayuda con armadillo peleón « 1 2 »
Ingeniería Inversa 		erGato 17 12,226 Último mensaje 15 Agosto 2013, 04:16 am
por apuromafo CLS
Ayuda con Armadillo v6 URGE
Ingeniería Inversa 		DANGELO141 7 4,299 Último mensaje 28 Mayo 2014, 20:43 pm
por apuromafo CLS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines