Autor
|
Tema: Consulta: Novato, luchando contra armadillo 3.00a (Leído 4,229 veces)
|
nemor44
Desconectado
Mensajes: 3
|
Hola a todos!
Les cuento que estoy empezando con esto de la ingenieria inversa, leyendo los tutos de Ricardo Narvaja, y googleando bastante.
Me puse a probar con un programita que tengo por acá, segun el RDG Packer Detector esta protegido por armadillo 3.00a.
El soft usa un nombre de usuario y hardware fingerprint. Yo tengo un par de keys originales, para el hw fingerprint de mi cpu, y mi nombre de usuario, pero ya caducadas.
Estoy encarando por el camino del ollydbg y el LordPE como he leido en algunos tutos... pero mi consulta es, teniendo varias keys funcionales pero caducadas, está bien que apunte por ese lado? O hay alguna forma de generar una key para este mismo cpu y user, con más tiempo, o que no caduque?
Básicamente mi duda es... encaro el .exe del programa, o la key que ya tengo?
Gracias de antemano, y si no se entiende algo les pido disculpas, pregunten y veo como explicar mejor.
|
|
|
En línea
|
|
|
|
Иōҳ
Desconectado
Mensajes: 563
|
El exe es dónde se gestiona todo... es por dónde debes empezar...
Creo que under posteo por ahí un script sobre algún fingerprint...
De todas maneras no pienses que se desempaca en un 2x3 requiere tiempo practicando con otros packers.. y cuando se tiene el nivel suficiente te puedes enfrentar.
Saludos, Nox.
|
|
|
En línea
|
|
|
|
nemor44
Desconectado
Mensajes: 3
|
Nox,
Antes que nada muchas gracias por tu respuesta!
No quise hacerlo sonar fácil, para nada, de hecho lo que sé como para escribir este post me tomó una noche de poco dormir y mucho leer y probar, jeje.
Se que es un camino largo, pero lo encuentro divertido, al menos hasta ahora... solo quería saber si iba bien encaminado o si estaba perdiendo el tiempo. tal vez yo estaba atacando el exe y podía conseguir una solución mucho más rapido con las keys que tenía... se entiende?
Saludos y gracias de nuevo!! Los iré actualizando en mis avances!
|
|
|
En línea
|
|
|
|
|
nemor44
Desconectado
Mensajes: 3
|
Bueno, les pido disculpas por la demora en responder, tuve que viajar. Under, gracias por la bienvenída! Entonces, volviendo un poco al tema.. acá les pongo lo que dice el RDG Packer: Check IsDebuggerPresent Armadillo Detección Heurística Armadillo v3.xx Armadillo v3.00 Armadillo v3.00a
y el arma FP dice: Protected Armadillo <-Find Protect Protection system (Basic) <Protection Options> Standard protection or Minimum protection <Backup Key Options> No Registry Keys at All <Compression Options> Better/Slower Compression <Other Options> ?-No Debug-Blocker, Child not detach <- Elapsed Time 00h 00m 00s 234ms -> Entonces.. segun el arma FP, no tengo debug blocker, y tengo la protección standard o mínima. Mi sentido común me dice que "standard o mínima" es algo bueno, jeje. Encontré un tutorial para quitar armadillo 4.30a con protección mínima (no pongo el link por las dudas de romper alguna regla)... es una versión más actual del armadillo, pero supongo que puede servirme de guía. Al terminar este post me pondré a intentar seguir dicho tutorial. Por otro lado,estuve probando los programas Armaggedon, dillodie y dillodump. Eston fueron mis resultados: Dillodie: El programa muere al cargarle el programa... objetivo? (en varios tutoriales lo llaman así al programa que quieren crackear). Intenta iniciar el objetivo y me da error del dillodie y se cierra. Armaggedon y dillodumper: Tuve el mismo resultado con ambos. Al elegir el exe del objetivo, ambos inicial el programa. Corrí el reloj de windows hacia atrás, cargue la key que funciona en esa fecha, y el programa corre normal. La diferencia que noté es que este método me permite actualizar la fecha a la correcta, sin que el programa objetivo lo note (normalmente salta un error de fecha modificada y se cierra). Sin embargo, yo esperaba que estos programas me crearan un nuevo exe ya crackeado, o sin armadillo, o algo así. Podrían aclararme si el funcionamiento observado es el normal, o si hay algo que falta/ falla? Finalmente, la idea es hacerlo manualmente, pero me pareció interesante también probar con los programitas que ya vienen (armaggedon, etc), para ver que "realmente se podía". Saludos y gracias por sus respuestas!
|
|
|
En línea
|
|
|
|
|
apuromafo CLS
|
jiji, lo ideal seria si realmente tienes tiempo seria que te pasaras por toda la gama de tutoriales de armadillo luego realmente testearlo por tu parte, yo suelo usar unpackers, pero aun asi jamas es como el unpack manual (1 las nanomites son un tema curioso, es mejor parcharlas manual 2) el tema de las licencias y valores es mejor pillarlas manual (checksum ) 3) el tema de inline es un tema curioso que permite inclusive parchar el ECSA, que tienen las versiones mas nuevas, pero requiere tiempo de monje
enviame los datos del programa y toda la informacion por privado, aver si te puedo ayudar en publico luego osea HIW, fecha valida, usuario, key y que has intentado y fotoso de lo que has visto, supongo que crear un word con la informacion y subirla a mediafire no estaria nada de mal,
digamos que hay 3 variables que deberiamos intentar como para revisar: 1) crackear el dll interno para que le de igual la fecha (normalmente armarider+algunos parches especificos que pueden ser volver a habilitar el reginfo, anular por completo el checking de fecha (o nop o jumps) , y asi suma y sigue)
2) desempacar el programa cuando logremos tener en la fecha correcta, pero esto implica que servira solo en tu pc, por eso es necesario tener correctamente evaluado el armadillo, digamos que conozco de armadillo 2 hasta la 8,
3) la version da igual, el tema es la forma de registrar, en formas de lv 0 (unsigned) hasta signed lv 9 puede ser keygeneado, de lv 10 no es posible, pues aun no existe algo que haga el bruteforce perfecto, pues usan estilo md5+tean (digamos algo similar como RSA 1024 pero mas o menos con ECC y otras), ademas luego de registrar registra ciertas environment, que por igual lado deben analizarse
yo tengo informacion de armadillo y en su tiempo comparti algo poco,
existe otra opcion, pero ahi si que requiere tiempo y es la mejor, pero como bien comentaba desde comienzos de este año, yo ya estoy retirado por motivos de fuerza mayor, siempre que tengo un tiempo libre me reviso un armadillo en tiempos libres, asi que no seria nada de extraño intentar revisar y guiarte hasta donde vas pero si se puede, genial , si no nimporta ^^ pd:espero el privado, asi no rompes reglas dando mayores datos saludos Apuromafo
|
|
|
En línea
|
Apuromafo
|
|
|
|
|