elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Ayuda con ingeniería inversa
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda con ingeniería inversa  (Leído 5,744 veces)
Teknofer

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Ayuda con ingeniería inversa
« en: 31 Julio 2011, 17:57 pm »

Hola amigos, como veran soy nuevo y gracias a Ricardo Narvaja
me registré en el foro para consultar y pedir su ayuda.

Les cuento que estoy tratando de efectuar ingeniería inversa a un programa ya viejito
del 2006 - 2007 el cual usando los programas mas nuevos del tuto no logro saber
si esta empaquetado o no.

Solo me aparece el compilador el cual es: MS Visual C++ v7.0

Tiene un uso de 15 dias el cual ya expiró y luego del cartel de expiracion me
permite poner nombre y unlock code.

Les comento que no puedo abrirlo con W32Dasm v8.93
simplemente no hace nada, ni dice nada (si ya se que no habla) ;D
No aparece ningún cartel de error ni nada.

El OllyDbg 1.10 se cierra al abrir el .exe no puedo hacer nada.

Usando plugins logré que funcione el OllyDbg 1.10 y lo abre.

Con el OllyDbg201c se abre pero se me resiste no logro efectuar ingeniería inversa.
No se si es por algún tipo de protección o es para usuarios avanzados con
dificultad alta y por eso no puedo lograr la meta.

Con todo lo que gasté al imprimir chiquicientas hojas y tinta en los tutoriales
ya lo podía haber comprado, pero el cometido es lograr efectuar la ingeniería
inversa, o sea aprender.

Lo único que logré es al momento de darle al boton despues de agregar nombre
y unlock code es que se detenga el Olly con un BP y tracear y tracear y tracear
pero no puedo dar en el blanco.

No quiero quedarme así me gustaría poder efectuar la ingeniería inversa, por eso pido su ayuda

No se si alguien se anima a ayudarme con este programa o sería mejor un tutorial
aunque sea a medias o una pequeña ayuda de algún BP etc.

Como a hecho el amigo .:UND3R:. en su primer [Tutorial] Crackeando PosWin v8.
Excelente tutorial ;-)


Les dejo el link del instalador por si se animan a ver porque no puedo lograr efectuar
la ingeniería inversa de este programita que no es nada nuevo.
Aquí
 


Salu2, nos leémos...
Teknofer
« Última modificación: 1 Agosto 2011, 09:02 am por Teknofer » En línea

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: Ayuda con ingeniería inversa
« Respuesta #1 en: 1 Agosto 2011, 10:01 am »

ayudemos a ver.. escaneo con un programa como pe-scan

-=[ ProtectionID v0.6.4.1 JULY]=-
(c) 2003-2011 CDKiLLER & TippeX
Build 07/22/11-02:48:07
Ready...

Scanning -> C:\archivos de programa\Liquid Mirror Software\Always Watching\Always Watching.exe
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 614400 (096000h) Byte(s)
[File Heuristics] -> Flag : 00000000000000000000000000000000 (0x00000000)
[!] Possible CD/DVD-Key or Serial Check -> registration code
[CompilerDetect] -> Visual C++ 7.1 (Visual Studio 2003)
[!] File appears to have no protection or is using an unknown protection
- Scan Took : 0.172 Second(s) [0000000ACh tick(s)]

Scanning -> C:\archivos de programa\Liquid Mirror Software\Always Watching\AlwaysWatchingLib.dll
File Type : 32-Bit Dll (Subsystem : Win GUI / 2), Size : 696320 (0AA000h) Byte(s)
[File Heuristics] -> Flag : 00000100000000001100001100100001 (0x0400C321)
[Debug Info]
Characteristics : 0x0 | TimeDateStamp : 0x44525036 | MajorVer : 0 / MinorVer : 0 -> (0.0)
Type : 2 -> CodeView | Size : 0x67 (103)
AddressOfRawData : 0x30C28 | PointerToRawData : 0x30C28
  • Warning codeview va and offset don't match
CvSig : 0x53445352 | SigGuid 17172E38-3A23-43D9-8120538B477F36B2
Age : 0x11 | Pdb : c:\Projects\AlwaysWatchingLib - Internal\Release-Unicode\AlwaysWatchingLib.pdb

[!] Armadillo v4.00 - v4.42 detected !
[CompilerDetect] -> Visual C/C++
- Scan Took : 0.109 Second(s) [00000006Dh tick(s)]

<- 31-07-2011 17:17:56 - [2.0] ->
C:\archivos de programa\Liquid Mirror Software\Always Watching\AlwaysWatchingLib.dll
Protected Armadillo
<-Find Protect
Protection system (Professional)
<Protection Options>
System File
Import Table Elimination
Strategic Code Splicing
<Backup Key Options>
Variable Backup Keys
<Compression Options>
Best/Slowest Compression
<Other Options>
Allow Only One Copy
<-Find Version
Version 4.40 01-11-2005
<- Elapsed Time 00h 00m 00s 438ms ->



si usas armaggedon, puedes desempacar la dll, luego renombrarla a otro nombre el original y ya estaria full, desaparece el boton de buy


saludos y a seguir aprendiendo como desempacar armadillo!!

saludos Apuromafo


por el tema de generar una clave, no es muy posible, deberia parcharse, y al final se gana mas desempacando:
 
Raw Certificate Data : 1D50F8F8ED92333233383733363136392C3639343933363436393930

Certificate 1 :: Level 29d (1Dh)  -> V3 Signed Short Level 10 (ECDSA-113)
-> Source Exponent : 92EDF8F8->sym key  17827355

-> ECDSA Exponent 1 : 3238736169
-> ECDSA Exponent 2 : 6949364699003427259030398410853021
-> ECDSA Exponent 3 : 544438800848300908597865738018164Ø
-> (Solving is not supported)

osea seria similar a una clave asi:
apuromafo
HIW:0000-0000
serial:000013-JZXWCW-QZ5Q7U-KDNY8V-ZZFZZZ-ZZZZZZ-ZWCJP9-51VJ00-800000-000000
« Última modificación: 1 Agosto 2011, 11:18 am por apuromafo » En línea

Apuromafo
Teknofer

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Ayuda con ingeniería inversa
« Respuesta #2 en: 1 Agosto 2011, 13:47 pm »

Muchas gracias Apuromafo por tu ayuda.

Esto si es ayudar.

 ;-) ;-) ;-)

En los tutos se menciona que está muy bien programada esa protección.

Yo usé el RDG Packer Detector v0.6.7 y no detectó nada solo el compilador.
No probé con otro pensando que el RDG Packer podía detectar protecciones.

Me faltaban las herramientas adecuadas.
Es que mi antivirus me cancelaba la descarga, detectaba virus.

 :o Armadillo v4.00 - v4.42 detected "uuuu tiembla Teknofer" :o

Con estos datos ya puedo empezar a trabajar y nuevamente
muchas gracias por tu ayuda Apuromafo



Salu2, nos leémos...
Teknofer
En línea

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: Ayuda con ingeniería inversa
« Respuesta #3 en: 3 Agosto 2011, 05:57 am »

el tema delicado es que como novato no podras con tanta proteccion, a menos que ya hayas juntado todas las tools como para armadillo

el tema aun mas denso, es que con el unpacker un paso y listo, reune la experiencia y luego lo haces manual, pero creeme, el tema de la iat no es facil , toma en cuenta el post anterior con mucho cuidado. ^^
saludos Apuromafo
pd:aun aprendo del tema de keygenning en armadillo, soy novato en aquella area y actualmente es un tabu o un tema no conversado en lugares publicos.
En línea

Apuromafo
Teknofer

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Ayuda con ingeniería inversa
« Respuesta #4 en: 17 Septiembre 2011, 12:01 pm »

Hola amigo Apuromafo ya probé en desempacar la dll con
ArmaG3ddon y el programa al cual quiero vencer queda sin
cumplir con la funcion para el cual fue programado.

Te deja crear las reglas y luego simplemente no hace nada.

Tambien probé en usar script para armadillo desde Olly sin
buenos resultados.

Desde el dia de tu ayuda sigo sin poder lograr que no pasen los
15 dias de prueba que en su momento con un par de saltos logré
dejarlo en cero, pero con las mismas consecuencias, que luego
simplemente no hace nada el programa.

Por eso es que recurro a el amigo .:UND3R:. por sus excelentes
tutoriales y de esa manera aprender un poco mas.

Me parece un interesante desafio para crear un tuto para
los mas nuevos como yo.


Este programita me venció, no se que mas hacer.

PD: Quizás a ti como no tenías los 15 dias vencidos el
       programa te funcionaba bien, pero a mi como ya se
       me venció el tiempo simplemente no hace nada el
       programa no cumple con la funcion para el cual fue
       programado.

Apuromafo...
Lo probastes luego de desempacar la dll si funciona como debe?
Me puedes pasar tu dll desempacada?

Dejo el link del instalador por si .:UND3R:. se anima.

Link



Salu2, nos leémos...
Teknofer
En línea

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: Ayuda con ingeniería inversa
« Respuesta #5 en: 19 Septiembre 2011, 03:41 am »

pues por lo mismo decia que debia parcharse, puede haber funciones perdidas y si logras que acepte ese hiw, y el serial seria lo ideal, pues fue formado con el symetric key correcto

si es de sugerencia, pues la unica forma deberia ser un inline para que lo acepte, verificar secured section y comparar con un serial valido, pero tampoco me han compartido la tecnica, y aun no la descubro los hash del serial que usan para las secured section en ese nivel


el detalle de desempacar la dll no es tanto el desempacar, sino el tema es que crea antes o si realmente es el oep o bien si se usa bien ese espacio

tambien hay un detalle, el unpacked de armaggedon creo que esta bien, lo que debes explorar son las variables de environment variables , ese es un inline que debe hacerse, debes agregar una sección con topo y redireccionar desde una parte que ya no use y luego saltar al oep


si quieres usar por mas tiempo existe una tool llamada trial reset
pero en armadillo el que dices, no es keygeneable solo parchando por profesionales

y si es inlineable desde el unpacked,   si te crackeao la aplicacion no aprenderias nada, habiendo centenas de tutoriales, yo pase 4 años leyendo de armadillo en diversos idiomas y recien el año pasado logre compartir palabras con algunos autores de keygens y tools de armadillo logre hasta verificar bugs y cosas por el estilo

no es mucho, pero no es poco

GetEnvironmentVariableA  y W , debes checkear, normalmente los parches pueden ser nop, o jmp

por ejemplo aqui uno muuuuuy antiguo:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1401-1500/1402-Desempacando%20Armadillo%20Simple%20v2.52%20by%20Ivinson.pdf


asi se puede parchar un armadillo en el unpacked

y aca coloca la palabra "Arma" o armadillo
http://ricardonarvaja.info/WEB/buscador.php

cuando termines de leeer y sin nace otra duda, aqui estamos



En línea

Apuromafo
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda con ingenieria inversa
Ingeniería Inversa
aguml 1 2,255 Último mensaje 18 Enero 2007, 12:48 pm
por aguml
AYUDA para Ingenieria inversa a GMTOOL
Ingeniería Inversa
sheik_gray 0 3,703 Último mensaje 21 Octubre 2010, 21:31 pm
por sheik_gray
ayuda con ingenieria inversa para registrar aplicacion
Ingeniería Inversa
darkloyo 3 2,935 Último mensaje 3 Julio 2013, 01:09 am
por apuromafo CLS
[AYUDA] Tutoriales Ingeniería Inversa 64-bits
Ingeniería Inversa
tmb90 2 3,943 Último mensaje 20 Junio 2014, 23:05 pm
por tmb90
Ingeniería inversa 64 bits [Ayuda]
Ingeniería Inversa
tmb90 1 2,141 Último mensaje 12 Septiembre 2014, 19:14 pm
por engel lex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines