Al parecer no le importa a muchos este post

Bueno como vi que dijiste que no te hacían caso, lo miré por encima, no os centréis siempre en la verificación de User & Pass, cualquier tipo de limitación es condicionada... prueba dejando esto así:

00455A20      C646 26 01    mov byte ptr ds:[esi+26],1

con ese byte registras el programa.

Salu2..

joer, pero si es el byte ese XD, pro no se porque lo pone a 0 xD, mañana lo miro, pro amos, los cambios esos son pa lo mismo al fin y al cabo .

Salu2..

Es fácil, si te das cuenta el mismo dialogo que te pide el password se encuentra aquí:

00455A93  |.  FF53 28       call ds:[ebx+28]

¿como lo encontramos?, pues yo por ejemplo cuando aparece, paro el flujo directamente (F12), y luego voy retornando hasta ver el bucle de la ventana (en este caso por ser delphi es fácilmente reconocible).


entonces metes un BP justo debajo del JE y parará cuando termines con la ventana.. de ésta manera irás retornando hasta llegar justo debajo del CALL que te dije.

Entonces si te fijas ves que hay varias comparaciones:


tomando como referencia ésta:

00455A75      807B 26 00    cmp byte ptr ds:[ebx+26],0

pones un BP ahi reinicias y verás que compara un solo byte de una direccion. Que si le metes un HBP on access al inicio te darás cuenta que hay una línea que mueve un 00 al principio y le pones un 1 y queda registrado..

otra manera de llegar sería:


ahi se hace la misma comparacion.


Salu2..

A ver una cosita.No se si te habrá quedado clara la explicación que te acaba de dar Shadow de cómo encontró el lugar idóneo para simular estar registrado.Si es que sí esta explicación más extendida de lo que hice yo, igual te sobra...o no.
Tú deberías saber que esto del cracking es como el cuento del gato y el ratón.El programador intenta esconder el punto débil de su protección.Hace ya un tiempo que están aprendiendo a despistarnos.Cada vez vemos menos direcciones de memoria fijas, claramente visualizadas en el desensamblado y por eso usan el direccionar posiciones de memoria "calientes" de manera indirecta, con lo cual aparecen relacionadas con registros más un desplazamiento.
Debemos acostumbrarnos a esta "nueva" situación.
La zona que más "canta" es en la que se ve claramente como nos proclama *UNREGISTERED*, aqui:

00497672  mov edx,Rubik.004978E8 ; ASCII " *UNREGISTERED*"

Si nos lo pone es porque sabe que no estamos registrados.¿Y cómo lo sabe?.Pues muy fácil.Lo descubre un poco mas arriba en el código, aqui:

0049765C cmp byte ptr ds:[eax+26],0
00497660 jnz short Rubik.004976C1

Si es diferente de cero, el valor que hay dentro de [eax+26], es que estamos registrados y no nos saldrá el *UNREGISTERED* en la barra del título, porque saltará a 004976C1.
¿Y que hay dentro de [eax+26]?.Pues en este caso hay escrita esta dirección de memoria 00AB434A.El valor que contiene esa dirección es lo único que tenemos que vigilar, que en principio, como te dijo Shadow, lo pone a cero.Nosotros debemos hacer lo imposible para que valga siempre 1, porque consulta lo que hay dentro de esa dirección en varios lugares del código (disfrazada con otros nombres de registro) y en este caso nos la cambia en un momento determinado.
Lógicamente has de saber usar el Olly u otro debugger, con cierta soltura.
Que te sirva de consuelo que todos hemos empezado como tú; es decir, haciendo preguntas después de estrellarnos una y otra vez.
Sigue preguntando, que no nos molestas para nada.
Saludos,

Mintaka