elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Consulta: Novato, luchando contra armadillo 3.00a
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Consulta: Novato, luchando contra armadillo 3.00a  (Leído 4,224 veces)
nemor44

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Consulta: Novato, luchando contra armadillo 3.00a
« en: 20 Abril 2012, 17:35 pm »

Hola a todos!

Les cuento que estoy empezando con esto de la ingenieria inversa, leyendo los tutos de Ricardo Narvaja, y googleando bastante.

Me puse a probar con un programita que tengo por acá, segun el RDG Packer Detector esta protegido por armadillo 3.00a.

El soft usa un nombre de usuario y hardware fingerprint. Yo tengo un par de keys originales, para el hw fingerprint de mi cpu, y mi nombre de usuario, pero ya caducadas.

Estoy  encarando por el camino del ollydbg y el LordPE como he leido en algunos tutos... pero mi consulta es, teniendo varias keys funcionales pero caducadas, está bien que apunte por ese lado? O hay alguna forma de generar una key para este mismo cpu y user, con más tiempo, o que no caduque?

Básicamente mi duda es... encaro el .exe del programa, o la key que ya tengo?

Gracias de antemano, y si no se entiende algo les pido disculpas, pregunten y veo como explicar mejor.
En línea

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Consulta: Novato, luchando contra armadillo 3.00a
« Respuesta #1 en: 20 Abril 2012, 17:49 pm »

El exe es dónde se gestiona todo... es por dónde debes empezar...

Creo que under posteo por ahí un script sobre algún fingerprint...

De todas maneras no pienses que se desempaca en un 2x3 requiere tiempo practicando con otros packers.. y cuando se tiene el nivel suficiente te puedes enfrentar.

Saludos,
Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
nemor44

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Consulta: Novato, luchando contra armadillo 3.00a
« Respuesta #2 en: 20 Abril 2012, 17:58 pm »

Nox,

Antes que nada muchas gracias por tu respuesta!

No quise hacerlo sonar fácil, para nada, de hecho lo que sé como para escribir este post me tomó una noche de poco dormir y mucho leer y probar, jeje.

Se que es un camino largo, pero lo encuentro divertido, al menos hasta ahora... solo quería saber si iba bien encaminado o si estaba perdiendo el tiempo. tal vez yo estaba atacando el exe y podía conseguir una solución mucho más rapido con las keys que tenía... se entiende?

Saludos y gracias de nuevo!! Los iré actualizando en mis avances!
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Consulta: Novato, luchando contra armadillo 3.00a
« Respuesta #3 en: 21 Abril 2012, 17:30 pm »

Hola nemor44, bienvenido. tal como comenta Nox es un packer algo sofisticado, y si leyendo el tutorial de ricardo narvaja intentas desempaquetarlo, lo más probable es que te lleves una desepción. Es un trabajo lento pero posible, debes partir con lo básico y así sucesivamente. Saludos y éxito se que podrás.  ;-)
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
nemor44

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Consulta: Novato, luchando contra armadillo 3.00a
« Respuesta #4 en: 24 Abril 2012, 23:36 pm »

Bueno, les pido disculpas por la demora en responder, tuve que viajar.

Under, gracias por la bienvenída!

Entonces, volviendo un poco al tema.. acá les pongo lo que dice el RDG Packer:

Citar
Check IsDebuggerPresent
Armadillo Detección Heurística
Armadillo v3.xx
Armadillo v3.00
Armadillo v3.00a

y el arma FP dice:

Citar
Protected Armadillo
<-Find Protect
Protection system (Basic)
<Protection Options>
Standard protection or Minimum protection
<Backup Key Options>
No Registry Keys at All
<Compression Options>
Better/Slower Compression
<Other Options>
?-No Debug-Blocker, Child not detach
<- Elapsed Time 00h 00m 00s 234ms ->

Entonces.. segun el arma FP, no tengo debug blocker, y tengo la protección standard o mínima. Mi sentido común me dice que "standard o mínima" es algo bueno, jeje.

Encontré un tutorial para quitar armadillo 4.30a con protección mínima (no pongo el link por las dudas de romper alguna regla)... es una versión más actual del armadillo, pero supongo que puede servirme de guía. Al terminar este post me pondré a intentar seguir dicho tutorial.

Por otro lado,estuve probando los programas Armaggedon, dillodie y dillodump. Eston fueron mis resultados:

Dillodie: El programa muere al cargarle el programa... objetivo? (en varios tutoriales lo llaman así al programa que quieren crackear). Intenta iniciar el objetivo y me da error del dillodie y se cierra.

Armaggedon y dillodumper: Tuve el mismo resultado con ambos. Al elegir el exe del objetivo, ambos inicial el programa. Corrí el reloj de windows hacia atrás, cargue la key que funciona en esa fecha, y el programa corre normal. La diferencia que noté es que este método me permite actualizar la fecha a la correcta, sin que el programa objetivo lo note (normalmente salta un error de fecha modificada y se cierra). Sin embargo, yo esperaba que estos programas me crearan un nuevo exe ya crackeado, o sin armadillo, o algo así. Podrían aclararme si el funcionamiento observado es el normal, o si hay algo que falta/ falla?

Finalmente, la idea es hacerlo manualmente, pero me pareció interesante también probar con los programitas que ya vienen (armaggedon, etc), para ver que "realmente se podía".

Saludos y gracias por sus respuestas!
En línea

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Consulta: Novato, luchando contra armadillo 3.00a
« Respuesta #5 en: 25 Abril 2012, 00:11 am »

Si no sabes las reglas aquí --->

http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html


Y pues muchos de aquí no usamos tooles para desempaquetar, si no el cerebro, lástima que no sepa porque te bota ese tipo de errores, tal vez Mafo, y si tienes la suerte de que pase por aquí te eche un cable...

Saludos.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: Consulta: Novato, luchando contra armadillo 3.00a
« Respuesta #6 en: 25 Abril 2012, 17:18 pm »

jiji, lo ideal seria si realmente tienes tiempo seria que te pasaras por toda la gama de tutoriales de armadillo luego realmente testearlo por tu parte, yo suelo usar unpackers, pero aun asi jamas es como el unpack manual
(1 las nanomites son un tema curioso, es mejor parcharlas manual
2) el tema de las licencias y valores es mejor pillarlas manual (checksum )
3) el tema de inline es un tema curioso que permite inclusive parchar el ECSA, que tienen las versiones mas nuevas, pero requiere tiempo de monje


enviame los datos del programa y toda la informacion por privado, aver si te puedo ayudar en publico luego
osea HIW, fecha valida, usuario, key  y que has intentado y fotoso de lo que has visto, supongo que crear un word con la informacion y subirla a mediafire no estaria nada de mal,

digamos que hay 3 variables que deberiamos intentar como para revisar:
1) crackear el dll interno para que le de igual la fecha (normalmente armarider+algunos parches especificos que pueden ser volver a habilitar el reginfo, anular por completo el checking de fecha (o nop o jumps)   , y asi suma y sigue)

2) desempacar el programa cuando logremos tener en la fecha correcta, pero esto implica que servira solo en tu pc, por eso es necesario tener correctamente evaluado el armadillo, digamos que conozco de armadillo 2 hasta la 8,

3) la version da igual, el tema es la forma de registrar, en formas de lv 0 (unsigned) hasta signed lv 9 puede ser keygeneado, de lv 10 no es posible, pues aun no existe algo que haga el bruteforce perfecto, pues usan estilo md5+tean (digamos algo similar como RSA 1024 pero mas o menos con ECC y otras), ademas luego de registrar registra ciertas environment, que por igual lado deben analizarse

yo tengo informacion de armadillo  y en su tiempo comparti algo poco,

existe otra opcion, pero ahi si que requiere tiempo y es la mejor, pero como bien comentaba desde comienzos de este año, yo ya estoy retirado por motivos de fuerza mayor, siempre que tengo un tiempo libre me reviso un armadillo en tiempos libres, asi que no seria nada de extraño intentar revisar
y guiarte hasta donde vas
pero si se puede, genial , si no nimporta ^^
pd:espero el privado, asi no rompes reglas dando mayores datos
saludos Apuromafo



En línea

Apuromafo
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Consulta de novato
Wireless en Windows
elinfiltrado 0 2,337 Último mensaje 19 Febrero 2011, 19:09 pm
por elinfiltrado
Consulta expresión regular contra SQL INJECTION
Dudas Generales
Yaldabaot 1 1,579 Último mensaje 10 Agosto 2018, 21:35 pm
por Shell Root
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines