elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Duda con comprobación CRC
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Duda con comprobación CRC  (Leído 4,316 veces)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Duda con comprobación CRC
« en: 26 Agosto 2011, 07:13 am »

Hola a todos, bueno tengo una duda encontré un programa que tiene tal comprobación, es decir al momento de cambiar un flag de una sección, este me lo detecta, mi duda es como puedo evitar este chequeo? si al momento de descomprimirlo este me crea más secciones y con nombres distintos? Saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Duda con comprobación CRC
« Respuesta #1 en: 26 Agosto 2011, 08:35 am »

Pensándolo bien el programa debe leer las secciones y ver sus atributos, que API se encarga de eso?

VirtualProtect que más?

Gracias
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Duda con comprobación CRC
« Respuesta #2 en: 26 Agosto 2011, 09:27 am »

además aparte de tener los mismos flag, debe tener la misma cantidad de secciones, como puedo hacer esto? o saltear la comprobación?

Gracias
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Duda con comprobación CRC
« Respuesta #3 en: 26 Agosto 2011, 18:37 pm »

Por definición, un CRC no comprueba los flags de las paginas de memoria donde estan las secciones.

Lo que comprueba es el PEHeader (y con esto los flags seteados en el para cada sección)

La tecnica mas sencilla de usar es el metodo de CreateFile.

NORMALMENTE el programa usa esta API para abrir el EXE. Si hookeas la API, puedes ver la parte donde calcula el CRC.

Si se pone dificil, puedes probar ir nativo y hookear ZwCreateFile (ntdll).

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Duda con comprobación CRC
« Respuesta #4 en: 26 Agosto 2011, 18:40 pm »

Buena info, abría un tutorial de eso?, busqué por CRC pero ninguno hablaba sobre lo que comentaste

Saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Duda con comprobación CRC
« Respuesta #5 en: 26 Agosto 2011, 18:45 pm »

Hace poco subi a CLS un inline para Winlicense que usa esta tecnica. Aunque es un poco distinta de la usada normalmente, la idea es la misma:

1) Hacer una copia del original con extension .ext
2) Hookear CreateFile (o ZwCreateFile)
3) Cuando el proggie llama a la API, redireccionar el parametro pasado para que apunte al EXE original (el renombrado)


Asi, los CRC caen sin mucho esfuerzo, usando un inline.

El tute que hice es este: http://ricardo.crver.net/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1332-Tut08_Winlicense_Inline_Patching_AbarrotesPDV212_por_MCKSys.7z

Saludos!

PD: Puedes usar el buscador de la web con "inline". Ahi salen varios.
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Duda con comprobación CRC
« Respuesta #6 en: 26 Agosto 2011, 21:47 pm »

Gracias por responder  ;-), en resumen debo introducir la API dentro del exe alterada para que verifique el original.ext y cada vez que sea llamada por el programa, este apunte al injerto de creado?,esa es la teoria?

Saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Duda con comprobación CRC
« Respuesta #7 en: 26 Agosto 2011, 21:48 pm »

No.

Colocar un gancho en la API para interceptar la llamada y cambiar los parametros en runtime.
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Duda con comprobación CRC
« Respuesta #8 en: 26 Agosto 2011, 21:59 pm »

jeje lo escribes de manera que se vea facil, saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Una duda]Acerca de la comprobacion de los serial´s...
Ingeniería Inversa
eDDy-X 4 2,643 Último mensaje 29 Diciembre 2004, 13:33 pm
por Jec
Comprobacion de mp3
Multimedia
rain_in!the!_universe 1 1,861 Último mensaje 8 Junio 2007, 17:36 pm
por rain_in!the!_universe
Comprobacion PHP
PHP
mokoMonster 2 2,229 Último mensaje 3 Agosto 2010, 23:56 pm
por mokoMonster
Comprobacion registro
Programación C/C++
MasterPunk 4 2,949 Último mensaje 2 Junio 2011, 21:33 pm
por MasterPunk
[VB6.0] Duda con como hacer una comprobacion
Programación Visual Basic
FranciskoAsdf 6 2,996 Último mensaje 8 Abril 2014, 16:22 pm
por FranciskoAsdf
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines